 | | | | | | | | | |
| | | |
|  | | | | | |
| | | | |
| Les menaces bloquées
Il est impossible de recenser l’ensemble des attaques possibles sur les applications tant elles sont nombreuses et spécifiques. Nous listons, pour information, les 10 principales techniques d’attaques couramment utilisées.
Ces techniques d’attaques peuvent avoir des conséquences significatives pour l’entreprise.
En forte croissance, les attaques de type « inconnu » constituent la menace la plus sérieuse pour les entreprises. Elles sont décrites en fin de liste. Une solution de sécurité applicative doit assurer la protection contre ce type d’attaques.
Deny All référence les dix techniques d'attaques les plus courantes
Entrée de paramètres invalides
L’internaute modifie les paramètres utilisées dans les URL, les en têtes HTTP, les formulaires ou les paramètres cachés et fournit des valeurs non attendues par l’application…
L’absence de filtre au niveau de l’application peut conduire à des comportements imprévisibles allant du crash par buffer overflow à l’accès à des données confidentielles ou au système d’exploitation.
Injection de commandes
A l’aide de méta codes, éventuellement encodés en hexadécimal, unicode ou UTF, l’internaute insère dans les requêtes des commandes qui en l’absence de filtres seront passées à l’application. Ces commandes peuvent contenir par exemple des appels au système d’exploitation, l’utilisation de programmes externes via des commandes shell ou des appels vers les bases de données.
Injection SQL
Utilisant le principe des injections de commandes, les injections SQL permettent d’exécuter des commandes directement sur les bases de données, afin d’avoir accès à des données confidentielles.
Cross Site Scripting
La technique consiste à contaminer un site Web avec un code malicieux qui sera récupéré par les utilisateurs visitant ce site. Le script malicieux s’exécute alors sur le navigateur des utilisateurs et permet au hacker de récupérer leurs droit d’accès (cookie, sessions utilisateurs) ou leurs mots de passe et autres informations confidentielles.
Violations de cookie et de session
La plupart des mécanismes de maintien de session sont trop rudimentaires, basés sur des jetons de sessions et parfois même sur des seuls cookies sans vérification de leur intégrité côté serveur. En procédant à des « reverse engineering » des cookies et/ou en récupérant des jetons de session active, un hacker peut les modifier afin d’acquérir l’identité et les droits d’accès d’un autre utilisateur.
Violation de contrôle d’accès
Découvrir des vulnérabilités au niveau des mécanismes de contrôle d’accès se limite souvent à envoyer une requête vers des ressources ou du contenu à accès réservé ! Les hackers réussissant à exploiter ces vulnérabilités peuvent utiliser d’autres comptes clients et tous les droits qui vont avec.
Buffer Overflow
Certains composants logiciels d’applications Web, typiquement CGI, librairies, drivers et composants serveurs du marché, ne vérifient pas suffisamment que les données entrées tiennent dans les limites des mémoires tampons. Les hackers peuvent lancer des attaques sur les applications présentant ces vulnérabilités afin de les crasher et parfois en prendre le contrôle.
Traitement inapproprié des erreurs
Les messages d’erreurs renvoyés par les applications en cas de dysfonctionnements peuvent contenir des informations purement internes. Un utilisateur malveillant va alors solliciter ces dysfonctionnements applicatifs afin de recueillir des informations sur la structure interne de l’application et sur ses vulnérabilités.
Directory Traversal/ Forceful Browsing
Le hacker va modifier ses requêtes afin qu’elles ne demandent pas à l’application de lui retourner un fichier mais la branche toute entière. Si l’application ne possède pas une page par défaut au niveau de chaque branche et si le serveur web est mal configuré, le hacker peut ainsi obtenir accès à des informations non prévues voire à tout le contenu de la branche.
Denis de service applicatifs
Les attaques par DoS sont le plus souvent associées aux attaques au niveau réseau par SYN flood émanant d’une ou plusieurs sources (on parle dans ce cas d’attaques distribuées DDoS). Les attaques par DoS au niveau applicatif existent aussi…Un seul hacker peut générer suffisamment de trafic pour saturer les ressources d’un serveur Web sur certaines URL particulières, rendant le système indisponible pour les autres utilisateurs.
Les attaques dites « inconnues »
Les attaques exploitant des techniques et des vulnérabilités inconnues sont particulièrement dangereuses car les mesures préventives n’ont pas pu être prises. Le nombre de ces « zero day exploits » est en forte croissance pour les raisons suivantes :
- De nouvelles vulnérabilités sont régulièrement découvertes dans les composants logiciels tiers ou spécifiques utilisés par les applications,
- Les possibilités de manipulation des requêtes sont virtuellement illimitées ce qui rend les combinaisons d’attaques et les vulnérabilités potentielles impossibles à répertorier, les hackers cherchent constamment à innover afin de mieux contourner les filtres de sécurité en place. Ils combinent ainsi différentes techniques d’attaques ainsi que les vers, virus et trojans pour en concevoir de nouvelles.
|
| |
|
|
|
|
| |
| |
|
