La sécurité sur le web

BLUE ACACIA

BLUE ACACIA

LA SECURITE SUR LE WEB
Best Practice en matière de sécurité de sites web

AUTEURS :
ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER 25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM

Sommaire
BLUE ACACIA
1 Introduction Slide 04

2 Leçon numéro 1 : Sensibiliser ses équipes Slide 06

3 Leçon numéro 2 : Sécuriser les URL Slide 08

4 Leçon numéro 3 : Protéger les formulaires génériques des attaques JavaScript Slide 10

5 Leçon numéro 4 : Verrouiller les formulaires d’identification Slide 16

6 Leçon numéro 5 : Contrôler son CMS Slide 21

7 Leçon numéro 6 : Protéger ses bases de données Slide 24

8 Leçon numéro 7 : Sécuriser ses passerelles Slide 26

9 Leçon numéro 8 : Protéger ses serveurs d’hébergement Slide 30

10 Leçon numéro 9 : Protéger son réseau local Slide 33

11 Fin Slide 37

BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 3

Introduction
BLUE ACACIA
Qui peut aborder ce sujet en toute sérénité ?

MAIS …
Après 10 ans d’expérience dans le web, plusieurs centaines de projets développés, plus de 400 clients, presque une centaine de sites marchands,
Blue acacia a une certaine légitimité a répondre à cette vaste problématique. Par contre, c’est un thème risqué car il implique : une absence de
langue De façon générale, iI devient de plus en plus difficile de hacker. manipulations évoquées.
1) de bois et surtout des cas concrets. J’attire votre attention sur le caractère illicite de certaines

2) De façon plus particulière, nous capitalisons sur une meilleure expérience chaque année.
Blue acacia est concernée car notre structure est exposée …

3) ALes systèmes proposés par les banques assurent une bonne sécuritéowa, vpn, …)
la fois développeur et hébergeur / Répartition sur 2 sites distants / Profil technophiles (wifi, oma, pour la vente en ligne.
Croissance organique (de 33 personnes en 2008 à 54 personnes actuellement),
Un parc serveur important (40 machines dédiées) / Plus de 2.000 urls hébergées,
4) La loi protège nos clients et nous sommes couverts par une RC (non obligatoire).
Plusieurs millions d’internautes chaque mois / 20 millions d’e-mails routés en 2008,

5) Les technologies sont de plus en plus performantes :
… et parce que WAF
nos clients et les données sont sensibles :
Langages (.Net)
Honda (Division Moto / Division Equipement / Intranet des 220 concessions),
Virtualisation
Presque 100 sites marchands,


BLUE ACACIA

SCREENSHOT DE TENTATIVES
DE HACKING SERIEUSES
SUR UN DE NOS SITES
INTERCEPTEES PAR LE WAF
ET L’IDS

1) Injection SQL

2) Attaque cross scripting

3) Brut force

4) …


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 1 :
Sensibiliser ses équipes

LECON NUMERO 1 / Sensibiliser ses équipes
BLUE ACACIA
Créer une hiérarchie dans les développeurs :

Directeur technique

Responsables de Pôles (.Net, Php, Flah,…)

Mettre en place des fiches de procédures :

Chez Blue acacia nous avons une « Blue school » pour éduquer nos développeurs (Chaines de
connexion ou d’identifications par exemple)

Imposer un socle commun :

Framework (3.5 sur le .Net, Zend en Php,…)

Méthode de développement (MVC)

Logiciels et pratiques de développement (VSS pour le .Net et SVN pour le reste)


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 2 :
Sécuriser les URL

LECON NUMERO 2 / Sécuriser les URL
BLUE ACACIA
Définir une liste de caractères interdits dans une url :
<SCRIPT> / SELECT / FROM / …

Choisir du SSL pour les sites marchands :
Démo vidéo sur le déploiement d’un SSL sur du .Net

Interdire la navigation anonyme
Blocage du mode « Parcourir » sur les serveurs web.

Contrôle de provenance :
Pour éviter le pishing ou le cross scripting, toutes les pages ayant une
action directe vers la base de données embarquent dans leurs entêtes un
script anti hameçonnage « anti pishing ».
Contrôle de l’url de provenance via une commande
« request.ServerVariables("HTTP_REFERRER_X") » pour vérifier que
l’internaute ne tente pas de lancer une page de traitement depuis une ip
locale et/ou différente de celle du serveur du site.

Prévoir un système de surveillance :
Déclencher des alertes pour l’utilisateur et pour l’administrateur.
Exemple :
http://www.aeroclub-st-tropez.com/aeroclub_st_tropez.asp?langue=fr&rubrique=1&id=8 and true


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 3 :
Protéger les formulaires génériques des attaques JavaScript

LECON NUMERO 3 / Démo d’attaque par injection JavaScript
BLUE ACACIA
Saisie dans un formulaire d’un script malveillant pour rendre indisponible une interface d’administration :

<SCRIPT LANGUAGE="Javascript">for(i=0;i<3;i++){;alert("Admin indisponible");}</SCRIPT>
<SCRIPT LANGUAGE="Java&#115
;cript">for(i=0;i<3;i 
 ){;alert("Admin ind&#1
05;sponible");}</SCRIPT&#62

Url de démo :
[URL DE FRONT OFFICE SUPPRIMEE : pour des raisons de confidentialité]
[URL DE MIDDLE OFFICE SUPPRIMEE : pour des raisons de confidentialité]

Accès direct aux pages ayant des traitements avec la base de données :

[URL SUPPRIMEE : pour des raisons de confidentialité]

<SCRIPT>window.open("http://<%
response.write(request.servervariables("SERVER_NAME")&request.servervariables("PATH_INFO")&"?"&request.servervariables("QUERY_STRI
NG")) %>")</SCRIPT>


LECON NUMERO 3 / Mesures de protection à mettre en place
BLUE ACACIA
Définir une taille maximum sur les champs input :

Mettre une propriété de type « Maxlength » sur les champs des formulaires.
Le contrôle de la taille des champs « input » permet d’éviter la saisie de code.

Mettre en place des scripts pour contrôler le format des saisies faites par l’internaute :

Contrôle de saisie pour éviter le stockage de données erronées
(exemple du contrôle du format des e-mails).

Mettre en place des règles de gestion pour contrôler la syntaxe des contenus envoyés aux bases de données :

Tous les formulaires devraient embarquer un script permettant de contrôler le type de données envoyées dans la base de données.
Contrôle de caractères interdits via une liste d’expressions surveillées (%, script, drop table, …) pour éviter l’injection SQL.
Formatage des données via un script « server.htmlencode » pour désactiver dans la base d’éventuels scripts malveillants.

Mettre en place un moteur de surveillance :

Stockage de l’adresse IP de la personne effectuant la manœuvre non autorisée,
Envoi d’une alerte e-mail à l’administrateur du site et au responsable sécurité de Blue acacia,
Affichage d’un avertissement sur le navigateur de l’internaute.


LECON NUMERO 3 / Exemples de scripts
BLUE ACACIA

CONTRÔLE DES VARIABLES CONTRÔLE DU DOMAINE
ET DU REFERRER DE
VOYAGEANT DANS LES URLS L’INTERNAUTE

CONTRÔLE SUR LA PROVENANCE DES PAGES APPELLEES

POUR EVITER LE CROSS SCRIPTING

BLUE ACACIA

1) DEFINITION D’UNE LISTE
DE CARACTERE INTERDITS
(script, nvarchar, drop
table, …)

2) CONTRÔLE SUR LEUR
SYNTAXE (ascii, base
64, binaire, avec et sans
espace, …)

3) ENCODAGE DES CARACTERES EN
BASE DE DONNEES

4) RECUPERATION DE L’ADRESSE IP
(même masquée derrière un proxy)


LECON NUMERO 3 / Démo une fois les protections mises en place
BLUE ACACIA
Attaque par manipulation de variable dans l’url :


1) Redirection vers l’accueilde développement que nous avons mis en place sur les dix dernières années
Tout cet arsenal
est entrain de disparaître grâce aux nouveaux framework (surtout le .Net) qui embarquent
désormais la grande majorité des protections sur mesure que nous avions développé !
Attaque par injection de Javascript dans le formulaire :

2) Concernant ce point Microsoft est largement en avance sur les environnements concurrents.
Données non injectées en base + alerte

3) Astuce : l’attaque du smtp par détournement de fonctionnalité :
Attaque par tentative d’accéder à une page qui a traitement avec une base de données :
Récolter les e-mails d’une dizaine d’internautes qui se plaignent de spam
[URL SUPPRIMEE à pour des raisons de confidentialité]
Les inscrire : une newsletter ne nécessitant aucun confirmation.

Page non accessible + alerte


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 4 :
Verrouiller les formulaires d’identification

LECON NUMERO 4 / Casser une identification par injection SQL
BLUE ACACIA
Attaque par détournement du couple login/mot de passe sur un extranet client :

Exemple de faille sur un site e-commerce [URL SUPPRIMEE : pour des raisons de confidentialité]

Exemple de faille sur un site de compagnie aérienne [URL SUPPRIMEE : pour des raisons de confidentialité]

Attaque par détournement du couple login/mot de passe sur une interface d’administration :

Exemple de faille sur l’admin d’un site e-commerce d’une grande marque de Luxe [URL SUPPRIMEE : pour des raisons de confidentialité]

Exemple de faille sur l’admin d’un corporate d’un groupe leader dans l’Industrie [URL SUPPRIMEE : pour des raisons de confidentialité]

Exemples d’injection :

' or ''='

' OR 1=1'); //


LECON NUMERO 4 / Verrouiller les formulaires d’identification
BLUE ACACIA
Complexifier l’accès aux pages de l’interface d’administration :

Ne pas créer un répertoire « /admin/ » à la racine du site.

Privilégier une url complexe, un alias ou une authentification forte.

Insérer une balise <META NAME="robots" content="noindex, nofollow"> dans les pages.

Fichier robots.txt avec une variable de type « Disallow: /admin/ » pour bloquer l’accès
aux répertoires parents/enfants.

Désactiver les injections SQL :

Définir un nombre de tentatives maximum.

Proposer du reset de mot de passe plutôt que de l’envoi par mail.

Stocker les adresse IP des personnes identifiées et prévoir un système
de surveillance et d’alertes.


LECON NUMERO 4 / Verrouiller les formulaires d’identification
BLUE ACACIA
Mettre en place des règles pour la génération de futurs comptes :

Pwd simple : Login = mot de passe = adresse IP (triple concordance).

Pwd complexe : Login = mot de passe (couple simple avec un minimum
de caractères imposés).

Sécuriser les mots de passe :

Une des meilleurs techniques consiste à adopter une fonction de hachage
cryptographique (conçue par la National Security Agency).
En 1995, la norme était le « SHA 1 » (Secure Hash Algorithm), cassée en 2005.
Une nouvelle norme doit voir le jour en 2012.
Chez Blue acacia nous utilisons du SHA 512 (proposé par le Framework .Net)
combiné avec un 2nd hash sous forme de variable additionnelle (« SALT »).

Créer un premier compte dans la base de données, dont les droits seront désactivés avec une alerte en cas de connexion.


BLUE ACACIA

1) VERIFICATION DU CONTENU DES CHAMPS

2) VERIFICATION DU COMPTE DE SECURITE (1ERE LIGNE
DE LA BASE DE DONNEES DESACTIVEE)

3) VERIFICATION DE LA CHAINE DE CONNEXION

4) VERIFICATION DE LA CONCORDANCE
AVEC L’ADRESSE IP

5) CREATION DE LA SESSION ET AFFECTATION DES
DROITS CORRESPONDANTS

6) LES SYSTEMES DE CAPTCHA NE SERVENT A RIEN SI
UNE COUCHE W.A.F. EST INSTALLEE.


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 5 :
Contrôler son CMS

LECON NUMERO 5 / Failles des CMS
BLUE ACACIA
Pourquoi sur FCK : parce qu’il existe en asp, en php, en .Net, en coldfusion ….

Accéder à la médiathèque
*DEBUT DE L’URL SUPPRIMEE POUR RAISON DE
SECURITE]/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

Naviguer dans l’arborescence serveur
*DEBUT DE L’URL SUPPRIMEE POUR RAISON DE
SECURITE]/editor/filemanager/browser/default/browser.html?Type=../../&Connector=connectors/asp/connector.asp

Historique de quelques petites failles sur d’autres CMS :

Obtenir le code source d’une page en asp
http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full
http://www.votresite.com/votrepage.asp::$DATA / http://www.votresite.com/global.asa+.htr

Devenir administrateur d’un site utilisant Joomla
http://www.example.com/index.php?option=com_gmaps&task=viewmap&Itemid=57&mapId=-
1/**/union/**/select/**/0,username,password,3,4,5,6,7,8/**/from/**/jos_users/*

Devenir administrateur d’un site utilisant PHP 123
http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/admin/*
http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/users/


LECON NUMERO 5 / Contrôler son CMS
BLUE ACACIA

1) AUDITER LE CODE DU CMS

2) METTRE DES SESSIONS SECURISES SUR TOUTES LES
PAGES D’UN CMS

3) VERIFIER QUE LE CMS N’OUTREPASSE
PAS LES DROITS SERVEURS
(Navigation anonyme, arborescence libre, upload
d’exécutables)


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 6 :
Protéger ses bases de données

LECON NUMERO 6 / Protéger ses bases de données
BLUE ACACIA
Protection des données :

Crypter les données des champs importants (mot de passe, …).
1) A la différence de MySQL, SQL server ne peut pas être accédé depuis le port 80
Avant nous utilisions des tables avec une variable client différente pournavigateur. puisse
avec un simple qu’un hacker ne
pas utiliser une injection identique d’un site à l’autre. Nous avons abandonné cette pratique depuis
que nos développeurs utilisent l’objet.
2) Il faut une couche logicielle (SQL Server Management Studio) ou un connecteur Access.
Activation de l’option « TDE » (Transparent data Encryption) : encryptage des données
Toute connexion laisse donc des traces.
de type log (« .ldf »), dump et base de données (« .mdf ») au cas ou un utilisateur accède aux
données sans passer par le logiciel de Microsoft.

Protection des accès :

Serveur SQL uniquement accessible sur le LAN de Blue acacia.

Vérification de l’emplacement de stockage des répertoires des dump.
Un hébergeur très connu stocke ses dump MySQL sur un même répertoire intitulé /code&sql/
Le répertoire est accessible en navigation anonyme et que la syntaxe du dump est identique.


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 7 :
Sécuriser ses passerelles

LECON NUMERO 7 / Démo d’attaque sur un site Flash et Php
BLUE ACACIA
Accès aux scripts et analyse des failles d’une passerelle de type AMFPHP :

Récupération du code et des classes du Flash
Recherche de la passerelle amfphp dans le code extrait
Accès direct à la passerelle via le navigateur
Premier test (accès direct au browser de la passerelle, qui n’a manifestement pas été sécurisée par les développeurs)

Accès aux scripts et analyse des failles :

Récupération du code et des classes du Flash
Accès aux newsletters envoyées
Accès aux répertoire images
Accès aux fichiers XML de chaque utilisateurs …
Plus embêtant : accès à la liste des inscrits de la base (nom, login, e-mail, mot de passe, …)
accès aux sessions (avec la possibilité de créer une session par exemple …)
Accès au code source avec la possibilité d’ « overwrite files ».
On peut par exemple, directement modifier le code source de la page PHP qui ouvre les sessions des utilisateurs inscrits et
sauvegarder les modifications de la page php : ce qui ferait planter le système d’authentification.


LECON NUMERO 7 / Récupération d’un contenu protégé
BLUE ACACIA
Le cas des sites portails délivrant des contenus payants : [NOM SUPPRIME POUR RAISON DE SECURITE]

Taper « %temp% » dans l’invite de commandes
Vider la mémoire cache
Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé
Lancer en ligne l’écoute d’un fichier
Récupérer et copier le fichier « plugtmp.php »
Renommer le fichier « plugtmp.php » en le fichier « mp3 »

Le site [NOM SUPPRIME POUR RAISON DE SECURITE] en v2

Taper « %temp% » dans l’invite de commandes
Vider la mémoire cache
Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé
Lancer en ligne l’écoute d’un fichier
Récupérer et linker les 5 fichiers (Grâce au byte array, le Flash permet de lire le fichier)


LECON NUMERO 7 / Mesures de protection à mettre en place
BLUE ACACIA

1) CELA NE SERT PLUS A RIEN D’OBFUSQUER LE CODE DU SWF (EXEMPLE DE HP SCAN)

2) IL VAUT MIEUX SE CONCENTRER SUR LA SECURITE DE LA PASSERELLE ELLE-MEME (COTE SERVEUR)

3) L’EQUIVALENT MICROSOFT (FLUORINE) EST BEAUCOUP MIEUX SECURISE

4) NOUS SOMMES ENTRAIN DE TESTER LA SECURITE DE
LA TECHNOLOGIE DE SMOOTH STREAMING DE MICROSOFT

Exemples de techniques :

Vérifier que le fichier SWF passe bien par la page qui diffuse le Flash (le client passe bien par le serveur web).
Utiliser de l’authentification sécurisée (le FMS récupère l’id de la session, la transmet au serveur qui vérifie son existence et donne
en retour une nouvelle clé unique au FMS qui la diffuse à son tour au client).
Générer éventuellement un fichier SWF côté serveur qui expire.


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 8 :
Protéger ses serveurs d’hébergement

LECON NUMERO 8 / Protéger ses serveurs d’hébergement
BLUE ACACIA
Firewall redondé (Solution Pfsense) :

Machine redondée
Blocage des ports
Hébergement normal : blocage de tous les ports sauf le port 80 (web)
Hébergement SSL : blocage de tous les ports sauf les ports 80 (web) et 443 (SSL)
Messagerie : blocage de tous les ports sauf le smtp
Blocage des paquets

IDS (Intrusion Détection System)

WAF (Web Application Firewall)

Protection contre l’injection SQL
Protection contre la manipulation des variables dans l’URL
Protection contre le cross scripting


LECON NUMERO 8 / Protéger ses serveurs d’hébergement
BLUE ACACIA
Serveurs :

Protection physique : Datacenter certifié sécurisé, Contrôle d’accès, Baie fermée par digicode.

Protection disques dur (Raid) : Protection électrique, Double alimentation, Matériel auto protégé.

Protection thermique.

Paramétrage
Bios protégé par mot de passe / Interdiction de boot sur cédérom et USB.
Compte administrateur par défaut désactivé (surveillé par l’IDS).

Réseau étanche
Les serveurs (y compris les virtuels) sont isolés entre eux au cas où une machine soit infectée (Solution Cisco : PV Lan).

Services :

Pool application.


BLUE ACACIA

BLUE ACACIA

LECON NUMERO 9 :
Protéger son Lan

LECON NUMERO 9 / Protéger son LAN
BLUE ACACIA
Réseau :

Internet
Firewall (Solution PFsense).
Filtrage des url (Solution Microsoft : Internet Security & Acceleration Server).
Antivirus (Solution Kaspersky).

Wifi
Avant : SSID masqué par brouilleur.
Maintenant : réglage de la portée par orientation de la diffusion et de la puissance du signal.
Clé WPA 2.

RJ45 : Seule chose autorisée : accès au web (Si client en visite : réseau web étanche à part).

VPN (Solution Microsoft)
Groupe direction (3 associés et directeur technique) : accès permanent.
Autres profils : gestion des droits à la volée. Par défaut aucun accès VPN n’est autorisé sauf demande exceptionnelle.


BLUE ACACIA

Utilisateurs :

Utilisateurs gérés par des groupes (Solution Microsoft : Advanced Group Policy Management).
Organisation par services et métiers (direction, commercial, réseaux, …).
Gestion fine (cas particuliers).

Parc informatique :

Déploiement centralisé et gestion des mises à jour des logiciels Microsoft (Solution Microsoft : Windows Server Update
Services).
Migration progressive vers Windows Seven.
Actuellement 31 postes sur les 61.
Migration totale avant la fin de l’année.
Antivirus (Solution Kaspersky)
Serveurs
Usage interne (Intranet, Comptabilité, …) : Mot de passe changé tous les mois (15 caractères complexes).
Usage mixte (Serveurs de développement, …) : DMZ.


BLUE ACACIA

Parc informatique :

Machines clients
Disques cryptés avec un mot de passe (Solution Microsoft : Windows BitLocker).
Désactivation du stockage de masse USB (interdiction des périphériques USB).
Politique cédérom : Si cd d’installation : pas de pb car aucun droits / Si cd de contenu : autorisé.
Mots de passe : Min 7 caractères (alpha/numériques/spéciaux) / Obligation de changer tous les mois.

Méthode de travail
VSS pour les sites .Net (Solution Microsoft : Visual SourceSafe).
SVN pour les sites Flash et Php (Solution Subversion).
FTP : non accessible de l’extérieur (sauf demande du client).

Données backupées (Solution Microsoft : System Center Data Protection Manager 2007 SP1)
Retour arrière possible sur 2 semaines.
Copies externalisées sur LTO-4.


BLUE ACACIA

BLUE ACACIA

Merci
François Sutter - Directeur Associé
fsutter@blueacacia.com

Olivier Baillet - Directeur Associé
obaillet@blueacacia.com

Xavier Baillet - Directeur Associé
xbaillet@blueacacia.com

Valérie Herbelot- Directrice du développement
vherbelot@blueacacia.com

Sébastien Serra – Chargé de clientèle
AUTEURS : sserra@blueacacia.com
ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER 25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM

La sécurité sur le web

Contenu connexe

Tendances

En vedette

Similaire à La sécurité sur le web

Plus de Softeam agency

La sécurité sur le web