Beruflich Dokumente
Kultur Dokumente
Scurit des Applications Web Comment Minimiser les Risques dAttaques les plus Courants
Sommaire I. Lessentiel II. Les bases de la scurit des applications Web III. Types de vulnrabilits inhrentes aux applications Web IV. Dtection des vulnrabilits dans les applications Web V. QualysGuard WAS automatise la dtection des vulnrabilits IV. Protection de vos applications Web V. propos de Qualys
2 2 3
8 8
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 2
Lessentiel
Les vulnrabilits au sein des applications Web sont dsormais le vecteur le plus important des attaques diriges contre la scurit des entreprises. Lan dernier, prs de 55% des vulnrabilits dvoiles concernaient des applications Web 1. Selon ce mme rapport, la fin de lanne, aucun patch de remdiation ntait disponible pour 74% des vulnrabilits affectant les applications Web. Les rcits sur les exploits qui compromettent des donnes sensibles mettent souvent en cause des attaques base de scripts intersite , d injection de code SQL et de dbordement de la mmoire tampon . Les vulnrabilits de ce genre ne relvent gnralement pas de lexpertise traditionnelle des responsables de la scurit rseau. Par consquent, lobscurit relative des vulnrabilits des applications Web est prcieuse pour mener des attaques. Comme lont constat de nombreuses entreprises, ces attaques rsisteront aux dfenses classiques du rseau dentreprise, moins que vous ne preniez de nouvelles prcautions. Pour vous aider savoir comment minimiser ces risques, Qualys vous propose ce guide dintroduction la scurit des applications Web. Ce guide fait le point sur les vulnrabilits qui affectent gnralement les applications Web. Il compare aussi les options de dtection disponibles et prsente la solution Web Application Scanning (WAS) de la suite QualysGuard, un nouveau service la demande fourni par Qualys pour automatiser la dtection des vulnrabilits les plus courantes au sein des applications Web personnalises.
Certaines attaques tentent daltrer le workflow logique. Les pirates mnent galement ces attaques en modifiant automatiquement une URI. http://example/foo.cgi?admin=false http://example/foo.cgi?admin=true
Un nombre important dattaques exploitent des vulnrabilits au niveau de la syntaxe et de la smantique. Nombre de ces vulnrabilits peuvent tre dcouvertes laide dun outil danalyse automatis. Les vulnrabilits logiques sont trs difficiles tester avec un outil danalyse. En effet, elles imposent de
1 Rapport IBM ISS X-Force sur les tendances et risques pour 2008 http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 3
procder manuellement pour inspecter et analyser le code source de lapplication Web et pour effectuer des tests de scurit. En rgle gnrale, les vulnrabilits de scurit au sein des applications Web sont lies des erreurs de programmation avec un langage de programmation dapplication Web (par exemple Java, .NET, PHP, Python, Perl et Ruby), une bibliothque de codes, un trait de conception ou larchitecture. Ces vulnrabilits peuvent tre complexes et se produire dans de nombreuses circonstances. Utiliser un firewall pour applications Web peut aider contrler les effets de certains exploits, mais il ne permettra pas de rsoudre les vulnrabilits sous-jacentes.
Les solutions danalyse des applications Web pour lentreprise sont plus larges et doivent inclure un large ventail de tests des principales classes de vulnrabilits des applications Web, notamment les injections de code SQL, les scripts intersite et les traverses de rpertoires. Le Top 10 de lOWASP est une bonne liste de dpart pour identifier les principales vulnrabilits, mais une solution dentreprise ne devrait pas se limiter une seule liste ou une catgorie de vulnrabilits. En effet, une solution dentreprise doit galement permettre danalyser de nombreuses applications, de suivre les rsultats dans le temps et aussi de fournir un puissant reporting (en particulier des rapports de conformit) ainsi que des rapports personnaliss aux exigences locales.
Livre blanc sur le dveloppement dun programme de scurit des applications Web Securosis.com
Lattaque par Force brute (ou Brute Force) automatise un processus dessais et derreurs destin deviner le nom dutilisateur, le mot de passe, le numro de carte de crdit ou la cl cryptographique dune personne. Lattaque par authentification insuffisante (ou Insufficient Authentication) permet un pirate daccder du contenu ou une fonctionnalit sensible sans authentification approprie. La faiblesse de la validation de restauration du mot de passe (ou Weak Password Recovery Validation) permet un pirate dobtenir, de modifier ou de rcuprer de manire illgale le mot de passe dun autre utilisateur.
La prdiction de certificat/session (ou Credential/Session Prediction) est une mthode pour pirater ou dpersonnaliser un utilisateur. Lattaque par autorisation insuffisante (ou Insufficient Authorization) permet daccder du contenu sensible ou une fonctionnalit qui devrait exiger davantage de restrictions en matire de contrle daccs. Lattaque par expiration de session insuffisante (ou Insufficient Session Expiration) permet un pirate de rutiliser des certificats ou des identifiants de session prims pour bnficier dune autorisation.
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 4
Des attaques de type Fixation de session (ou Session Fixation) forcent lidentifiant de la session dun utilisateur sur une valeur explicite.
Lusurpation de contenu (ou Content Spoofing) leurre un utilisateur en lui faisant croire quun certain contenu saffichant sur un site Web est lgitime et quil ne provient pas dune source externe. Le script intersite (ou Cross-site Scripting - XSS) force un site Web relayer le code excutable fourni par un pirate et le charger dans le navigateur Web de lutilisateur.
Les attaques par dbordement de la mmoire tampon (ou Buffer Overflow) altrent le flux dune application en crasant certaines parties de la mmoire. Une attaque de type Format String altre le flux dune application en utilisant les fonctionnalits dune bibliothque de formatage de chanes pour accder un autre espace mmoire. Les attaques par injection LDAP exploitent les sites Web en construisant des instructions LDAP partir des informations saisies par lutilisateur. La prise de contrle distance du systme dexploitation (ou OS Commanding) excute des commandes du systme dexploitation sur un site Web en manipulant les donnes entres dans lapplication. Linjection de code SQL construit des instructions SQL sur une application de site Web partir des informations saisies par lutilisateur. Linjection SSI (Server-Side Include) envoie du code dans une application Web qui est ensuite excute localement par le serveur Web. Linjection XPath construit des requtes XPath partir des informations saisies par un utilisateur.
Lindexation de rpertoires (ou Directory Indexing) est une fonction automatique de serveur Web pour le listage/lindexation de rpertoires qui affiche tous les fichiers dun rpertoire demand en labsence du fichier de base normal. Une fuite dinformations se produit lorsque un site Web divulgue des donnes sensibles telles que les commentaires dun dveloppeur ou des messages derreur, ce qui peut aider un pirate exploiter le systme. Une attaque par traverse de rpertoires (ou Path Traversal) force laccs aux fichiers, dossiers et commandes pouvant se trouver en dehors du dossier racine du document Web. Une attaque sur les lieux prvisibles des ressources (ou Predictable Resource Location) rvle le contenu et les fonctionnalits cachs dun site Web.
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 5
Une attaque par abus de fonctionnalits (ou Abuse of Functionality) utilise les propres caractristiques et fonctionnalits dun site Web pour consumer, dtourner ou faire chouer les mcanismes de contrle daccs. Les attaques par dni de service (ou Denial of Service - DoS) empchent un site Web de satisfaire lactivit normale dun utilisateur. On parle de mesures danti-automatisation insuffisantes (ou Insufficient Anti-automation) lorsquun site Web permet un pirate dautomatiser un processus qui ne devrait pouvoir tre excut que manuellement.
Le nombre de vulnrabilits affectant les applications Web sest dvelopp une vitesse vertigineuse. En 2008, les vulnrabilits affectant les applications de serveur Web reprsentaient 54% de toutes les vulnrabilits connues. Elles taient lun des principaux facteurs de laugmentation globale des vulnrabilits dvoiles au cours de lanne.
Rapport IBM X-Force sur les tendances et risques pour 2008
Une validation de processus insuffisante (ou Insufficient Process Validation) permet un pirate de contourner ou de faire chouer le flux lgitime dune application.
n n n
Comme un scanner na pas accs au code source dune application Web, le seul moyen pour lui de dtecter les vulnrabilits est de simuler des attaques contre lapplication cible. La dure de lanalyse varie, mais simuler une attaque denvergure sur une application prend beaucoup plus de temps que deffectuer
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 6
une analyse des vulnrabilits du rseau sur une seule adresse IP. Lun des prrequis majeurs pour un scanner de vulnrabilits des applications Web est de pouvoir analyser pleinement les fonctionnalits de lapplication cible. Si la couverture est partielle, le scanner ignorera les vulnrabilits existantes.
QualysGuard WAS dtecte automatiquement les principales vulnrabilits des applications Web
La solution QualysGuard Web Application Scanning (WAS) est un service la demande intgr la suite QualysGuard de scurit et de conformit fournie sous la forme de services (SaaS). Pour utiliser QualysGuard WAS, aucune connaissance spcifique de la scurit Web nest requise. Grce ce service, un administrateur informatique ou charg de la scurit du rseau peut excuter des analyses de vulnrabilit compltes et prcises sur des applications Web personnalises, notamment des formulaires dachat, des pages de connexion et autres types de contenu dynamique. Ltendue de la couverture se concentre sur les tests de scurit des applications Web.
Un navigateur Web embarqu analyse le code HTML et une partie du code JavaScript pour en extraire des liens. Pondration automatique de ltendue et de la profondeur des liens dcouverts pour parcourir jusqu 5000 liens par application Web. Authentification HTTP de base et NTLM depuis un serveur. Authentification par formulaire simple.
Authentification
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 7
Liste noire
Navigateur interdit de visiter certains liens dune application Web. Le navigateur ne doit visiter que les liens dfinis de manire explicite dans cette liste. Niveau de bande passante dtermin par lutilisateur pour une analyse en parallle afin de contrler limpact sur les performances applicatives. Recherche de contenu daprs des expressions spcifies par lutilisateur dans le code HTML, notamment les numros de scurit sociale.
Liste blanche
Contenu sensible
Des rapports tels que le Web Application Scorecard offrent une vue globale et une visibilit en profondeur des vulnrabilits pour chaque application Web
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 8
A propos de Qualys
Qualys, Inc. est le principal fournisseur de solutions la demande pour la gestion des vulnrabilits et de la conformit sous la forme de services (SaaS). Dployables en quelques heures seulement partout dans le monde, les solutions SaaS de Qualys fournissent aux entreprises une vue immdiate et permanente de ltat de leur scurit et de leur conformit. Actuellement utilis par plus de 3500 entreprises dans 85 pays, dont 40 des 100 premires socits mondiales du classement tabli par Fortune, le service QualysGuard ralise plus de 200 millions daudits IP par an. Qualys a opr le plus important dploiement de ressources de gestion des vulnrabilits au monde au sein dune socit figurant parmi les 50 premires entreprises mondiales du classement Fortune. Qualys a sign des accords stratgiques avec des fournisseurs de services dinfogrance ( managed services ) de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, Tata Communications, TELUS et VeriSign. Pour de plus amples informations, rendez-vous sur www.qualys.com.
www.qualys.com
USA Qualys, Inc. 1600 Bridge Parkway, Redwood Shores, CA 94065 T: 1 (650) 801 6100 sales@qualys.com Royaume-Uni Qualys, Ltd. 224 Berwick Avenue, Slough, Berkshire, SL1 4QT T: +44 (0) 1753 872101 Allemagne Qualys GmbH Mnchen Airport, Terminalstrasse Mitte 18, 85356 Mnchen T: +49 (0) 89 97007 146 France Qualys Technologies Maison de la Dfense, 7 Place de la Dfense, 92400 Courbevoie T: +33 (0) 1 41 97 35 70 Japon Qualys Japan K.K. Pacific Century Place 8F, 1-11-1 Marunouchi, Chiyoda-ku, 100-6208 Tokyo T: +81 3 6860 8296 Hong Kong Qualys Hong Kong Ltd. 2/F, Shui On Centre, 6-8 Harbour Road, Wanchai, Hong Kong T: +852 2824 8488
Qualys, the Qualys logo and QualysGuard are registered trademarks of Qualys, Inc. All other trademarks are the property of their respective owners. 04/09