Et voici la suite de mes notes prises lors du BlackHat Europe 2011 qui a eu lieu la semaine dernière à Barcelone.

La première partie de ce compte rendu est lisible à l’adresse suivante : http://blogs.technet.com/b/stanislas/archive/2011/03/22/blackhat-europe-2011-compte-rendu-de-quelques-sessions-partie-1.aspx

 Web Application Payloads par Andres Riancho (Director of Web Security chez Rapid7)

L’objectif principal de cette session était de parler d’un framework d’audit & d’attack d’application web baptisé w3af.

w3af est un framework open source (sous GPL 2.0) existant depuis 2007  et ce framework est extensible.

Pour ceux qui connaissent Metasploit, w3af est assez similaire mais orienté sur les applications Web (au passage, il est à noter que w3af peut être intégré à Metasploit)

Le speaker a commencé en nous montrant une vidéo assez graphique de l’évolution des participations à ce projet Open source :

w3af - Web Application Attack and Audit Framework - Code Swarm from Andres Riancho on Vimeo.

Note : cette vidéo a été réalisée à l’aide de Codeswarm (Organic software visualization of project repositories). Plus d’informations sur Codeswarn : http://code.google.com/p/codeswarm/

L’outil peut utiliser des profils pré-configurés, notons parmi ceux-ci cela OWASP Top 10 intégrant les plugins d’audit, de découverte et de grep

Ensuite nous avons une démonstration de w3af depuis un Linux (un package existe aussi pour Windows)

Pour le speaker, w3af :

  • Présente un taux faible de faux négatifs
  • good link and code coverage
  • Est distribué dans un grand nombre de Live CD de Hacking (ex: Samurai Live CD)
  • Est disponible en package pour un grand nombre de distribution Linux

D’après le speaker, les framework d’exploit sont principalement focalisés sur l’usage d’exploits (compromettant la mémoire des serveurs/applications Web ciblées) car c’est aujourd’hui là que sont les vulnérabilités les plus importantes.

L’attention est désormais en train de se décaller vers les applications Web et d’exploiter les possibilités qu’elles “offrent”

Le speaker explique ensuite qu’il faut changer sa façon de penser quand on attaque un site Web. Il faut passer du mode “je recherche un buffer overflow à exploiter” au mode j’exploite l’application avec les capacités réduites qu’elle me permet.

Ex : lire les fichiers de config du serveur Apache via l’application Web avec le Spider Payload

Un des avantages de w3af ce sont les payloads qui peuvent prendre des décisions basées sur des faits déjà sauvegardés dans la base de connaissance durant le scan :

  • Vulnérabilités identifiées
  • Type de serveur Web distant (Apache, IIS…)
  • Type de système d’exploitation distant
  • URL trouvées

L’idée exposée par le speaker c’est d’utiliser les payload pour récupérer (télécharger) localement le code source de l’application Web afin de pouvoir utiliser un outil d’analyse statique du code (Static Code Analysis).

Ce qui donne la méthodogie suivante d’attaque :

Informations complémentaires sur le Static Code Analysis

Conclusion du speaker :

  • Il reste encore du travail sur le projet. Les volontaires sont les bienvenus.
  • Il faut développer plus de payload pour Windows
  • L’objectif final étant que w3af devienne le framework standard d’exploitation des failles pour les applications web.

D'autres compte rendus de cette session sont disponibles aux adresses suivantes :
http://www.cupfighter.net/index.php/2011/03/w3af-payloads/
http://www.corelan.be/index.php/2011/03/17/blackhat-europe-2011-day-01/

Une autre présentation d'Andres Riancho sur le sujet
http://www.slideshare.net/bonsaiblog/ekoparty-2010-web-application-security-payloads-5266938

Informations complémentaires sur w3af :

 

Among the blind, the squinter rules : security visualisation in the Field par Wim Remes (Information security consultant – Ernst & Young)

L’objectif de cette session (clairement pas technique) était d’ouvrir une réflexion sur la manière dont on peut aujourd’hui présenter de manière visuelle les informations relatives à la sécurité d’un système d’information (ou d’une application…).

D’après Wim Remes, trop d’outils actuels n’ont rien compris dans la représentation graphique des informations, qu’elles soient sous la forme de tableaux de bord (dashboard) inutilisables ou encore de graphiques en 3D illisibles… Il a d’ailleurs parfaitement illustrer ces points avec des captures d’écrans provenant de divers outils du marché.

Sur la partie outil, en fait le panel est extrement large et comprend tout et n’importe quoi pour présenter de manière visuelle des données sécurité.

Parmi les exemples d’outils montrés ou cités

  • Excel (bon ça tout le monde connait ;-))
  • Tenable 3D tool pour les clients Tenable

Une vidéo de démonstration de cet outil : http://cgi.tenablesecurity.com/demos/3d-tool-demo/3d-tool-demo.html

Pour le speaker, l’utilisation de la 3D dans les graphiques ou les camemberts est simplement une abbération (le terme exact était “3D sucks in pie”). Je suis plus que d’accord avec le speaker (la 3D c’est wahoouu mais inexploitable car les perspectives déforment souvent les valeurs)

Quelques spécialistes de la visualisation de données que le speaker a cité durant sa session :

Bref, plein de bonnes choses à apprendre chez ces deux personnes.

Pour revenir à la partie données relatives à la sécurité, le speaker a cité différentes sources d’informations en ligne :

Autres compte rendus sur cette session :

Voilà il devrait y avoir une troisième partie car il me reste encore 2 ou 3 sessions qui méritent un compte rendu

Stanislas Quastana -