Les menaces applicatives

1,268 views

Published on

Description des grands classiques et des nouvelles tendances des attaques applicatives existantes.

Published in: Real Estate
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,268
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
51
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Les menaces applicatives

  1. 1. Comprendre et anticiper les menaces applicatives.
  2. 2. LES GRANDS CLASSIQUES
  3. 3. LES GRANDS CLASSIQUES Attaques applicatives + SQL Injection + Cross Site Scripting + Command Injection + Path Traversal + Local (remote) File Inclusion + Redirections vers des sites tiers Faiblesses d’architecture + Mauvaise gestion des droits + Mauvaise gestion des accès aux ressources + Upload de fichiers dangereux + Cookies non sécurisés + Pages sessionless Déni de service + Atteinte des limites du serveur + Atteinte des limites de l’application + Vulnérabilité serveur (Apache, IIS, etc) Phishing/Scamming + Emails piégés + Abus de confiance + Ingénierie sociale
  4. 4. POURQUOI SONT ILS SI MÉCHANTS ? Objectifs + Vol de données sensibles (plusieurs € par référence) + Interruption de service + Atteinte à l’image de marque ou d’une société + Prise de contrôle de machines cibles + Revenus financiers Quelques exemples + US Army credentials informations leaks + NATO documents steal + SCADA + DDOS Operation (HSBC, Facebook, Twitter, Forex market) + Phishing (facebook, twitter)
  5. 5. CONTRE-MESURES Attaques applicatives + Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic) + Développement sécurisé + Audits (code et sécurité) Déni de service + Mise en place de pare-feu réseau + Mise en place d’une sonde réseau + (Virtual) Patching afin de contrer les vulnérabilités 0-Day Phishing + Mise en place de solutions d’authentification des emails + Formation du personnel + Sensibilisation des utilisateurs (http://www.phishing.fr)
  6. 6. NOUVELLES TENDANCES
  7. 7. ATTAQUES APPLICATIVES Obfuscation d’attaques applicatives (Firewall Bypassing) + Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL encoding) + SQL Injection avancées (blind injections, conversions implicites) + XSS avancés (Javascript obfuscation) Nouvelles attaques + HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs) + XSRF (la vulnérabilité la plus répandue actuellement) + Des évolutions des anciennes recettes…
  8. 8. ATTAQUES ZERO DAY Cibles sur le serveur + Apache, IIS, Tomcat, Glassfish + OpenSSL, XML parsers + Vulnérabilités Système Méthodologie + Requêtes et communications malformées + Exploitation de fuite mémoire Outils + Metasploit + Slowloris + THC-SSL-DOS, etc.
  9. 9. ATTAQUES DU PROTOCOLE SSL Ciphers cracking + B.E.A.S.T. + CBC mode vulnerability SSL Bypass + C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL) + C.R.I.M.E. v2 (HTTP Compression, Time Attack)
  10. 10. BONNES PRATIQUES
  11. 11. SE MAINTENIR A JOUR Les attaques applicatives évoluent et se transforment + Maintenir ses règles de sécurité à jour + Installer les mises à jour des produits de défense dès qu’elles sont disponibles + Mettre en place des règles de virtual patching via ICX ou les workflows Les nouvelles vulnérabilités sont toujours exploitées + Maintenir son niveau de connaissance des produits + S’informer de l’actualité des techniques d’attaque + Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de l’infrastructure (frameworks, bibliothèques, etc)
  12. 12. RENFORCER LA POLITIQUE D’ACCES De nouvelles formes d’attaques applicatives apparaissent + Comprendre ces attaques + Mesurer leur impact dans le système d’information + Mettre en place des techniques de protections adaptées (nouvelles règles ICX, modification et amélioration des politiques de sécurité) Les communications SSL sont au cœur de la sécurité Web + Utiliser des algorithmes de chiffrement sûrs et reconnus + Maintenir le serveur applicatif à jour + Maintenir le pare-feu applicatif à jour
  13. 13. VALIDER LE TRAFFIC La majorité des nouvelles vulnérabilités sont issues d’un trafic anormal + Requêtes mal formées ou invalides + Protocole HTTP modifié + Flux de données anormalement important Mettre en place des outils de contrôle et de maitrise du trafic: + Vérifier la taille des requêtes + Vérifier la validité du protocole + Vérifier le nombre et le format des paramètres
  14. 14. NE RIEN OUBLIER Disparition progressive de l’architecture deux tiers + Les communications ne se font plus uniquement entre le client (navigateur internet) et le serveur web + Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires) + Communication via des API Web Services (SOAP/XML) peu ou pas protégés ! Le cœur fonctionnel de l’application web reste le même + Utilisation de SQL, HTML et de langages de script + Les attaques applicatives touchent également les web services + Au même titre que les applications web classiques, les Web Services doivent être protégés!
  15. 15. UNE APPLICATION WEB SÉCURISÉE
  16. 16. UNE APPLICATION SÉCURISÉE Une infrastructure à jour + Pare-feu applicatif + signatures + Serveur web + Annuaire et base de données + Système d’exploitation Une maîtrise du trafic entrant + Taille des requêtes + Nombre de requêtes + Nombre et format de paramètres + Protocoles autorisés Une bonne connaissance de l’application web + Identification des différents points de communications + Evaluation des niveaux de confiance Un suivi de l’actualité sécurité + Nouvelles vulnérabilités + Nouvelles attaques
  17. 17. VULNÉRABILITÉS WEB ‘13 WAF WAF WAF WAF MULTI WAF WAF MULTI WAF WAF # Vulnérabilité 1 Injection 2 Broken authentication & session management 3 Cross site scripting 4 Insecure direct object reference 5 Security misconfiguration 6 Sensitive data exposure 7 Missing function level access control 8 Cross site request forgery 9 Using components with known vulnerabilities 10 Unvalidated redirects and forwards Contre mesure Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
  18. 18. VOTRE PARE-FEU APPLICATIF Doit : + Être un équipement dédié + Être à jour ! + Être modulaire et industrialisable + Protéger TOUTES les applications + Protéger efficacement les Web Services + Protéger les applications mobiles Ne doit pas : + Être une boîte noire + Nécessiter 800 pages de manuel + Requérir l’intervention des développeurs
  19. 19. Web Application Firewall, Web Access Management et Web Services Firewall. MOINS DE PRODUITS Solution unifiée de filtrage, de contrôle du trafic HTTP, d’authentification et de routage applicatif. Applications, APIs, web services. MOINS DE TEMPS Administration graphique simple et puissante. Profils d’applications, templates. BEE WARE I-SUITE 5.5 Active monitoring Application firewalling Application routing HTTP throttling Mobility policies REST/JSON Reverse proxy SOAP/XML SSL tunneling Strong authentication Web cloaking Workflow MOINS DE STRESS Supervision et protection du trafic applicatif. En tout point du système d’information.
  20. 20. CONTACTS Service commercial + tel : +33 1 74 90 50 96 + sales@bee-ware.net Plus d’infos + http://www.bee-ware.net + http://blog.bee-ware.net + http://my.bee-ware.net + http://www.slideshare.net/bee_ware + http://www.scoop.it/t/securite-web + @beewaretech + @beewebsec

×