dimanche 30 novembre 2014

Punkspider, ça décoiffe…

En lisant le document de l'OWASP intitulé OWASP Testing Guide 4.0 (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents), dans la catégorie "Information Gathering" j'ai eu la surprise de découvrir PunkSpider.
Si vous installez le plug-in dans votre browser Firefox ou Chrome, PunkSpider vous permet de savoir en temps-réel si des vulnérabilités sont présentes.
Dans l’exemple ci-dessous on voit en haut à droite une croix rouge (dans le plug-in de Punkspider) qui indique la présence de vulnérabilités. C'est plutôt bien fait!
punkspider
Par contre si vous utilisez PunkSpider pour tester vos propres sites et que ces sites sont vulnérables alors il y a une forte chance que ces sites se retrouvent dans la “Blacklist” de PunkSpider (cette liste, qui énumère tous les sites vulnérables est téléchargeable sur le site de Punkspider).
punkspider1
Et dans ce cas votre site devient visible pour tous les script-kiddies du monde! A bon entendeur!
Par contre, encore une fois, cet outil peut être utilisé avantageusement pour la sensibilisation à la sécurité des applications web!
punkspider2
Vous expliquez le XSS et hop vous montrez l’existence de failles en "live" sur des sites existants, comme sur le site ci-dessous !
punkspider3
Attention restez dans la légalité! Gaffe aux dérives!

samedi 29 novembre 2014

Heartbleed , 9 mois après!

Rappelez-vous “Mars 2014”! Et la panique qui a suivi l’annonce de Heartbleed!
Un bref rappel sur la vulnérabilité. Ce schéma est plutôt explicite: un mauvais contrôle de la longueur d’un paramètre dans le “heartbeat” du côté du serveur! C’est très bête! Quand on pense que cette faille existait depuis longtemps! Erreur ou porte dérobée! Je vous laisse décider.
Simplified_Heartbleed_explanation.svg
Sur le site https://zmap.io/heartbleed/ on trouve une liste de sites web vulnérables qui date d’Avril 2014. Et surprise, certains sites sont toujours vunlérables! Nous allons donc pouvoir faire quelques tests.
Tout d’abord pour vérifier qu’un site est toujours vulnérable vous pouvez utiliser le site de Filippo Valsorda (https://filippo.io/Heartbleed/).
Les scripts Python que l’on peut utiliser se trouvent dans le Github de Peter Wu sous le nom de Pacemaker (https://github.com/Lekensteyn/pacemaker).
La première approche consiste à utiliser le script heartbleed.py en passant en paramètre le nom du site ciblé:
   1: python .\heartbleed.py mrwallpaper.com
Voici un extrait des résultats qu’il est maintenant nécessaire d’exploiter et ce n’est pas le plus facile. Il se peut même que vous ne trouviez aucun mot de passe ou aucune clef privée! Notez que certaines options de heartbleed.py permettent de vous aider dans votre quête.
image
Si le site résiste à heartbleed.py vous pouvez utiliser pacemaker.py si votre site cible permet d’entrer en paramètre une URL pour télécharger une image par exemple.

Le principe est de lancer pacemaker.py qui écoute sur le port 4433.

   1: python .\pacemaker.py
image
Puis vous allez sur le site “cible” et vous saisissez l’URL (en HTTPS) de votre serveur dans le champ du site permettant par exemple le téléchargement d’une image à partir d'une URL.
Capture
La communication est initiée par le site web et en retour le serveur tente d’envoyer la commande heartbeat corrompue.

Heureusement ça ne marche pas à chaque fois!


dimanche 23 novembre 2014

Bad, I’m bad… USB

Dans son “github”, Adam Caudill  nous décrit la marche à suivre pour réaliser une clef de type “bad USB”  (https://github.com/adamcaudill/Psychson).

La procédure décrite permet de récupérer les outils et les firmwares nécessaires au test.

Mais le problème est ailleurs! A la lecture des commentaires il s’avère que la principale difficulté est bizarrement de trouver… la bonne clef USB.

Comme précisé, une clef éligible au test décrit par Adam Caudill doit avoir un contrôleur de type PS2251-03. Cependant si on se fie aux réactions des “testeurs”, l’achat d’une des clefs identifiés comme compatibles ne vous assure pas d’avoir le bon modèle de contrôleur. En effet les fabricants de clefs USB les produisent par lots. Et tous les lots ne semblent pas avoir le même modèle. Vous risquez donc d’avoir le désagrément d’acheter une clef incompatible.

Devant ce triste constat, je me suis donné pour premier objectif de trouver un moyen qui me permette de bien vérifier le modèle des clefs USB en ma possession avant de risquer un achat.

Le premier moyen qui vient à l’esprit est d’utiliser le menu “Propriétés” de la clef USB. Malheureusement on n’y trouve pas le modèle du contrôleur.

image

Mais finalement, j’ai fini par trouvé l’outil ChipEasy v1.5.6.6 après quelques prises de risques en surfant sur des sites “chinois”. Et cette fois-ci on obtient entre autres choses le modèle du contrôleur.

image

Pour vous éviter d’éventuels désagréments “sécuritaires”  j’ai mis ChipEasy sur le site de Prox-IA (http://prox-ia.consulting.chez-alice.fr/Ressources/ChipEasy_EN.zip).

Partager avec...