Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement( Télécharger le fichier original )par Guillaume HARRY Conservatoire national des arts et métiers - Ingénieur 2012 |
4.6 Mauvaise configuration de sécurité4.6.1 PrincipeCette faille de sécurité regroupe toutes les vulnérabilités laissées ouvertes aux différents niveaux de l'architecture de l'application Web. Pour chacun des serveurs impliqués dans l'activité de l'application, le problème concerne le système d'exploitation ainsi que les outils installés pour servir l'application. Pour chacun de ces composants, des failles sont connues du domaine public, ce qui facilite les attaques. S'ils ne sont pas mis à jour, l'attaquant peut exploiter les failles non corrigées. Pour de nombreux outils, des options sont installées par défaut alors qu'elles ne sont pas nécessaires au bon fonctionnement de l'application. Cette situation offre plus d'opportunités pour un attaquant. De même de nombreuses applications sont installées avec des comptes créés avec des mots de passe par défaut. Ces comptes et mots de passe sont les cibles privilégiées des usurpations d'identité. 4.6.2 Exemples d'attaqueJ. Scambray, V. Liu et C. Sima [9] donnent un exemple d'attaque. En 2007 une faille est découverte dans l'extension mod_jk du serveur http Apache. Ce module permet de renvoyer les requêtes http reçues par le serveur http au serveur de Servlet Apache Tomcat pour qu'il exécute les Servlets Java. Le problème détecté est un dépassement de mémoire tampon (buffer overflow). Le module ne gérait pas correctement les adresses trop longues contenues dans les requêtes http. Cela permettait à un attaquant de faire ouvrir un port d'écoute spécifique utilisable pour prendre la main sur le serveur. Tant que le correctif n'était pas publié et installé, les systèmes restaient vulnérables. Le seul moyen de se protéger était de désactiver le module s'il n'était pas utilisé. Les codes sources des applications Web Open Source sont disponibles aussi bien pour les développeurs légitimes que pour les attaquants. En parcourant ces fichiers, il est possible de lire des commentaires laissés par les développeurs indiquant qu'il y a un problème dont ils ont conscience mais qu'ils traiteront plus tard. Dans ce cas l'attaquant n'a plus qu'à exploiter cette faiblesse. Les pages d'erreurs des serveurs http contiennent par défaut des informations sur l'erreur et sur le serveur http lui-même. En tentant d'accéder à une page inexistante, une erreur de type « 404 page not found » est retournée à l'attaquant, de même que la version du serveur http. Dans ce cas il suffit à l'attaquant d'étudier cette version pour en connaitre les vulnérabilités et de les exploiter. |
|