Test de sécurité - Piratage d'applications Web
Il existe différentes méthodologies / approches que nous pouvons utiliser comme référence pour effectuer une attaque.
Application Web - Méthodologies de PenTesting
On peut prendre en compte les standards suivants lors du développement d'un modèle d'attaque.
Parmi la liste suivante, l'OWASP est le plus actif et il y a un certain nombre de contributeurs. Nous nous concentrerons sur les techniques OWASP que chaque équipe de développement prend en considération avant de concevoir une application Web.
PTES - Norme d'exécution des tests de pénétration
OSSTMM - Manuel de méthodologie de test de sécurité Open Source
Techniques de test OWASP - Open Web Application Security Protocol
Top 10 de l'OWASP
L'équipe Open Web Application Security Protocol a publié les 10 principales vulnérabilités les plus répandues sur le Web ces dernières années. Vous trouverez ci-dessous la liste des failles de sécurité les plus courantes dans une application Web.
Application - Pratique
Afin de comprendre chacune des techniques, travaillons avec un exemple d'application. Nous allons effectuer l'attaque sur «WebGoat», l'application J2EE qui est développée explicitement avec des failles de sécurité à des fins d'apprentissage.
Les détails complets du projet webgoat peuvent être trouvés https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project. Pour télécharger l'application WebGoat, accédez àhttps://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0) et allez à la section des téléchargements.
Pour installer l'application téléchargée, assurez-vous d'abord qu'aucune application ne s'exécute sur le port 8080. Elle peut être installée simplement à l'aide d'une seule commande - java -jar WebGoat-6.0.1-war-exec.jar. Pour plus de détails, visitez Installation de WebGoat
Après l'installation, nous devrions pouvoir accéder à l'application en accédant à http://localhost:8080/WebGoat/attack et la page serait affichée comme indiqué ci-dessous.
Nous pouvons utiliser les informations d'identification de l'invité ou de l'administrateur telles qu'elles sont affichées sur la page de connexion.
Proxy Web
Afin d'intercepter le trafic entre le client (navigateur) et le serveur (système où l'application Webgoat est hébergée dans notre cas), nous devons utiliser un proxy Web. Nous utiliserons Burp Proxy qui peut être téléchargé depuishttps://portswigger.net/burp/download.html
Il suffit de télécharger la version gratuite de burp suite comme indiqué ci-dessous.
Configurer Burp Suite
Burp Suite est un proxy Web qui peut intercepter chaque paquet d'informations envoyé et reçu par le navigateur et le serveur Web. Cela nous aide à modifier le contenu avant que le client envoie les informations au serveur Web.
Step 1- L'application est installée sur le port 8080 et Burp est installé sur le port 8181 comme indiqué ci-dessous. Lancez Burp suite et effectuez les réglages suivants afin de l'amener sur le port 8181 comme indiqué ci-dessous.
Step 2- Nous devons nous assurer que le Burp écoute le port # 8080 où l'application est installée afin que Burp suite puisse intercepter le trafic. Ces réglages doivent être effectués sur l'onglet Scope de Burp Suite comme indiqué ci-dessous.
Step 3- Effectuez ensuite les paramétrages de votre navigateur proxy pour écouter le port 8181 (port Burp Suite). Ainsi, nous avons configuré le proxy Web pour intercepter le trafic entre le client (navigateur) et le serveur (serveur Web) comme indiqué ci-dessous -
Step 4 - L'instantané de la configuration est présenté ci-dessous à l'aide d'un simple diagramme de flux de travail comme indiqué ci-dessous