ASFWS 2011 : Sécurité du web embarqué

967 views

Published on

Un retour d’expérience sur les pires audits d’applications Web – et en général il s’agit souvent d’applications embarquées. Outils, méthodes et résultats concrets seront abordés dans cette présentation.

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Nicolas Ruff

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
967
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ASFWS 2011 : Sécurité du web embarqué

  1. 1. Sécurité du Web embarqué Nicolas RUFF EADS Innovation Works nicolas.ruff (à) eads.net
  2. 2. Contexte• Vous connaissez …
  3. 3. Contexte• … mais connaissez-vous ? – nginx – lighttpd – Allegro RomPager – Virata EmWeb –…
  4. 4. Contexte• Attention ! – Ceci nest pas une conférence à propos de la sécurité dInternet
  5. 5. Contexte• … quoique …
  6. 6. Les contraintes de lembarqué• Serveurs Web "allégés" – Souvent à thread unique• Pas de langage de script – Utilisation massive de CGI – Ou à défaut des langages "maison"• Ressources limitées – Il existe des alternatives à OpenSSL • Et je ne parle pas de GnuTLS 
  7. 7. Les risques de lembarqué• Toutes les failles que vous connaissez – OWASP TOP 10• Mais aussi … – Epuisement de ressources – Secrets stockés "en dur" – Logiciels archaïques – Injection de commandes – Failles dimplémentation triviales
  8. 8. Exemple - OWASP TOP 10• Pas la peine dépiloguer …
  9. 9. Exemple - épuisement de ressources• Le déni de service le plus facile du monde – Une seule thread SSL côté serveur …
  10. 10. Exemple - secrets stockés "en dur"• Secrets: – Page dadministration ou de débogage • Souvent non documentée – Compte • Parfois non documenté – Clé secrète • Ex. clé SSH ou partie privée dun certificat SSL• Un mythe ? – Malheureusement non … • https://code.google.com/p/littleblackbox/
  11. 11. Exemple - logiciels archaïques• En 2008, cet équipement est vulnérable au ver Slapper … – http://www.cert.org/advisories/CA-2002-27.html C:> dir (...) 11/06/2008 17:21 22 756 003 avc (...) C:> strings avc | grep -i openssl Stack part of OpenSSL 0.9.6a 5 Apr 2001 ASN.1 part of OpenSSL 0.9.6a 5 Apr 2001 Big Number part of OpenSSL 0.9.6a 5 Apr 2001 (...)
  12. 12. Exemple - injection de commandes• Prendre le contrôle de nimporte quel script CGI en 2 temps … /var/www/cgi/admin$ fgrep system * (…) Binary file pt_settings.cgi matches Binary file reboot.cgi matches Binary file recorder_status.cgi matches Binary file recorder_test.cgi matches (…) /var/www/cgi/admin$ grep "%s" recorder_test.cgi recorder_test.cgi: TinyDBError %s recorder_test.cgi: umount %s recorder_test.cgi: mkdir -p %s recorder_test.cgi: smbmount //%s/%s %s -o username=%s,password=%s recorder_test.cgi: touch %s
  13. 13. Exemple - injection de commandes• Rapport complet – http://newsoft-tech.blogspot.com/2010/09/d- link-dcs-2121-and-state-of-embedded.html• Qui est épargné ? – Probablement personne … • Cf. slide suivant
  14. 14. Exemple - injection de commandes
  15. 15. Exemple - failles dimplémentation triviales• Démo ! – Si Dieu veut 
  16. 16. Conclusion• Le TOP 10 de lOWASP, cest bien …• … mais le Web embarqué, cest pire ! – En 2011, on trouve encore des équipements avec une implémentation SSL ou HTTP-AUTH vulnérable à des débordements de buffer …

×