samurai wtf

Download Samurai WTF

Post on 03-Jul-2015

204 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

Scurit Samourai

Samurai :Rgis Senet

protgez vos applications webLa scurit des sites internet est aujourd'hui lun des aspects de la scurit le le plus souvent nglig. Les failles web permettent des actions de plus en plus importantes de la part des pirates informatiques. Samurai ou plus prcisment Samurai Web Testing Framework ou encore Samurai WTF est donc un LiveCD spcialis dans les tests de pntration sur les applications web. Il a pour objectif de devenir LA plateforme de rfrence en qualit de pntration des applications web devant le trs complet BackTrack.

L

a scurit des sites internet est aujourd'hui lun des aspects de la scurit en entreprise le plus souvent nglig alors quil devrait tre une priorit dans n'importe quelle organisation. De plus en plus, les pirates informatiques concentrent leurs efforts sur les applications web afin dobtenir une approche des informations confidentielles et abuser des donnes sensibles comme les dtails de clients, les numros de carte de crdit et autre. Les applications web ralisant des achats en ligne, des authentifications dutilisateurs ou utilisant simplement tous types de contenu dynamique permettent lutilisateur dinteragir avec des donnes contenues dans une base de donnes. Sur certaines applications, ces donnes peuvent tre personnelles voire sensibles. Si ces applications web ne sont pas scurises, votre base de donnes entire court un risque rel. Comme tous systmes informatiques, une application web doit rpondre trois caractristiques : Confidentialit Disponibilit Intgrit

linux@software.com.pl

Ce qu'il faut savoir... Les bases des sites web. Les bases des attaques Web (Injection SQL / Injection de code / Inclusion de fichier).

La scurisation des rseaux et linstallation dun pare-feu ne fournissent aucune protection contre les attaques web car elles sont lances sur le port 80 (le port par dfaut pour les sites Internet) qui doit rester ouvert. Pour la stratgie de scurit la plus complte, il est donc urgent d'auditer rgulirement vos applications web pour vrifier la prsence de vulnrabilits exploitables.

Cet article explique... Lutilisation de Samurai. La rcupration dinformation.

2

Linux+ 4/2009

Scurit Samourai

Pourquoi sattaquer une application web ?

Les failles web permettent des actions de plus en plus importantes de la part des pirates informatique. Il est fini le temps o le piratage dun site Web consistait afficher une simple fentre sur la page de lutilisateur ou bien le vol dun cookie. De nos jours, le piratage dune application Web est nettement plus dangereux que cela : dfaage complet ou partiel dun site Internet ou accs aux donnes sensibles des utilisateurs. Les raisons de ces actions ? Les pirates informatiques sont principalement motivs par deux raisons : La gloire: Le dfaage dun site rentre souvent dans cette catgorie de piratage. En effet, le dfaage dun site sert parfois marquer son territoire ou simplement se faire connatre par le monde des pirates en modifiant le site cible. Largent : Les pirates sont souvent attirs par l'appt du gain quil soit direct ou indirect. Un gain direct est un gain leur revenant personnellement alors quun gain indirect se dfinirait plus comme tant une perte pour lentreprise cible. En effet, le vol dinformations confidentielles comme les numros de carte bleue par exemple est un commerce de plus en plus porteur sur le net.

Figure 2. BootSplash de Samurai

a gagn l'approche plus de cinq millions de numros de cartes de crdit en fvrier 2003 grce une attaque d'application web. Il est temps dinclure les sites web dans la politique de scurit des entreprises et ceci de manire draconienne. Pour ce faire, nous allons maintenant vous prsenter Samurai Web Testing Framework.

En exemple de gain indirect, en 2006, ChoicePoint a pay 10 millions de dollars dans les peines civiles et 5 millions dans le ddommagement de consommateurs aprs que 163 000 dossiers financiers personnels de consommateurs avaient t compromis dans sa base de donnes. De mme, un pirate informatique

Quest ce que Samurai ?

Avec la dmocratisation des LiveCD spcialiss, Samurai na pu droger la rgle. Samurai ou plus prcisment Samurai Web Testing Framework ou encore Samurai WTF est donc un LiveCD spcialis dans les tests de pntration sur les applications web.

Samurai WTF est un LiveCD fond sur un environnement GNU/Linux. Bien que moins habituelle quOpenBSD, FreeBSD et autre, Samurai WTF s'appuie sur une distribution Ubuntu 8.04 LTS ayant pour nom de code The Hardy Heron. Cette version a t publie en version stable le 24 avril 2008 soit peine quelques mois avant la sortie de la premire version de Samurai WTF. Samurai s'appuyant sur Ubuntu, GNOME (GNU Network Object Model Environment) se trouve tre lenvironnement graphique par dfaut. Samurai WTF est donc un LiveCD prconfigur pour les tests de pntration des sites web. Le LiveCD contient les meilleurs outils de cette catgorie quils soient Open Source ou bien gratuits. Lensemble de ces outils se divise en trois catgories distinctes : Reconnaissance Dcouverte Exploitation

Nous prsenterons plus en dtails lensemble de ces catgories dans le prochain module. Nous prsenterons galement en dtails les outils les plus importants disponibles sur ce LiveCD.

Origine du projet

Figure 1. Ecran de boot du Live CD

Le projet Samurai Web Testing Framework a vu le jour pour sa premire mise en ligne le 08 Octobre 2008 sous sa version 0.1 grce au travail de Kevin Johnson et Justin Searle. Kevin et Justin sont deux analystes en scurit informatique expriments ainsi que des administrateurs rseaux et pen-tester aguerris. Actuellement sa version

www.lpmagazine.org

3

Scurit Samourai0.4, Samurai WTF se voit samliorer de version en version en fixant dventuels bugs sur les logiciels prsents ainsi quen ajoutant de nouveaux logiciels. Paralllement lvolution du projet et sa prise dimportance, deux autres dveloppeurs, Franck DiMaggio et Brian Bentley sont venus sajouter au projet afin de travailler aux cts des deux initiateurs du projet. Samurai WTF a pour objectif de devenir LA plateforme de rfrence en qualit de pntration des applications web devant le trs complet BackTrack qui dj normment dimportance aux yeux de tous les professionnels de la scurit informatique. Une nouvelle version 0.5 est attendue intgrant le tout dernier KDE (KDE 4.1) fond sur Kubuntu 8.10

Dmarrage du LiveCD

Comme sur lensemble des distributions GNU/Linux, le boot du CD propose de nombreuses possibilits quant aux actions entreprendre. Encore une fois, Samurai WTF ne droge pas la rgle. Figure 4. Bureau de Samurai sous Gnome A partir du menu, il est possible : Un des intrts du LiveCD est qu'il ne laisse pas De dmarrer Samurai Web Testing Frame- de trace car toutes les informations utilises au work en mode graphique (safe mode ou pas). cours de son utilisation seront perdues lors de Dinstaller Samurai Web Testing Fra- l'extinction de la machine. Pour cette raison, nous mework en dur en utilisant loutil de parti- allons utiliser la premire option Start Samurai tionnement connu dUbuntu. Web Testing Framework in Graphical Mode qui De vrifier que le CD ou le DVD na aucun est loption par dfaut permettant simplement de dfaut. lancer Samurai WTF en mode graphique. De faire un test de mmoire (option disponiLe mode graphique se lance donc affichant ble sur tous les LiveCD) le bootsplash de Samurai WTF durant le char De dmarrer partir du disque dur. Cette op- gement de tous les modules (voir Figure 2). tion trouve sont utilit lorsque le CD se trouUne fois lensemble des modules chargs, ve dans le lecteur au dmarrage mais que un cran de login apparat. lon veut booter normalement sur notre disPar dfaut, le seul et unique identifiant pour que dur. la connexion se compose de login samurai cou-

pl au mot de passe samurai (voir Figure 3). Par la suite, rajoutez ventuellement des utilisateurs grce la commande useradd ou bien grce au gestionnaire graphique que contient Samurai WTF afin de restreindre lutilisation du LiveCD. Une fois logg, profitez pleinement de lensemble des fonctionnalits dont ce LiveCD regorge. Les menus prsents dans Samurai sont trs intuitifs et trs clairs permettant de vous adapter rapidement mme si vous navez jamais install une version dUbuntu (voir Figure 4 et 5). Samurai et ses outils Le LiveCD dispose approximativement dune trentaine doutils destins mettre mal tout type dapplication web. Comme nous vous l'avions indiqu dans le module prcdent, lensemble de ces outils peut se dcomposer en trois catgories, savoir : Reconnaissance Dcouverte Exploitation

ReconnaissanceLa partie reconnaissance est une partie trs importante dans la mise en place dune attaque (que celle-ci soit porte contre une application web ou autre). Dans le cas dune application web, il sagit de faire de la rcupration dinformation sur la cible. La prise de connaissance peut inclure la rcupration dadresses mail, des informations concernant le titulaire de lhbergement ainsi que bien dautre possibilits. Pour ces rcuprations dinformations, les outils Fierce domain Scanner ainsi que Maltego sont disponibles sur Samurai WTF.

Figure 3. Ecran de login

4

Linux+ 4/2009

Scurit Samourai

Dcouverte/Exploitation

Les parties dcouverte et reconnaissance sont gnralement regroupes en une seule phase lorsquil sagit doutil automatis. La dcouverte dune faille, que ce soit des mauvaises configurations du serveur, des failles de type cross site scripting (XSS), injection SQL, inclusion de fichier ou bien dautres encore permet de mettre en vidence la prsence dune faille sans pour autant lexploiter 100%. La partie exploitation quant elle consiste tenter dexplorer la faille sous toutes ses coutures. Pour ces parties, des outils bien connus comme W3AF, BeEF ou