Exploitation de vulnérabilités

Il est très difficile de concevoir un système informatique qui soit exempt de vulnérabilités. Le présent document vise à regrouper de l'information quant à certaines des vulnérabilités les plus connues et quant à leurs exploitations les plus... disons « les plus populaires » faute d'un meilleur terme.

Débordement de zone tampon (Buffer Overflow)

En 2005, il était possible d'exploiter un débordement de zone tampon dans Firefox quand les URL étaient particulièrement longues : http://news.cnet.com/Unpatched-Firefox-flaw-may-expose-users/2100-1002_3-5856201.html

Comment fonctionne un débordement de zone tampon? Article détaillé de Peter Bright en 2015 : http://arstechnica.com/security/2015/08/how-security-flaws-work-the-buffer-overflow/

Injection

Plusieurs pratiques hostiles passent par l'injection, qu'on parle d'injection de code, de témoins, de données, etc. dans des systèmes autrement opérationnels. Ce faisant, un attaquant dévie l'exécution normale de composants de ce système, en prend le contrôle, supprime ou altère ses données, etc.

• Texte de 2012 expliquant comment corriger les défauts structurels permettant des attaques par voie d'injection, par Peter Bex : http://www.more-magic.net/posts/structurally-fixing-injection-bugs.html
• Injecter du code JavaScript dans une page Web à partir de bogues dans un minifier, article qui fait frissonner par Yan Zhu en 2015 : https://zyan.scripts.mit.edu/blog/backdooring-js/

Injection SQL

Pédagogie :

• Un Wiki sur le sujet : http://en.wikipedia.org/wiki/SQL_injection
• En 2010, Dennis Fisher dissèque une attaque de ce type : http://threatpost.com/en_us/blogs/anatomy-sql-injection-attack-022510
• Tout ce que vous voulez savoir à ce sujet, de l'avis de Troy Hunt en 2013 : http://www.troyhunt.com/2013/07/everything-you-wanted-to-know-about-sql.html
• Texte de 2015 par Joseph Cox, relatant l' histoire de cette tactique d' exploitation qui, selon l' auteur du texte en question, ne disparaîtra jamais : http://motherboard.vice.com/read/the-history-of-sql-injection-the-hack-that-will-never-go-away

Constats :

• En 2006, on rapportait un accroissement des attaques de ce type sur les banques : http://www.net-security.org/secworld.php?id=4076
• En 2007, Giorgio Maone rapportait que le site Web des Nations unies avait été souillé dû à une injection SQL : http://hackademix.net/2007/08/12/united-nations-vs-sql-injections/
• En 2016, ce type d'exploitation perdure. Dan Kuykendall explique pourquoi il en est ainsi selon lui : https://dzone.com/articles/why-sql-injection-vulnerabilities-still-existy

Démonstrations par l'absurde :

• Celle-ci fut rapportée en 2007 : http://thedailywtf.com/Articles/Now_Hiring_SQL_Injectors.aspx
• Celle-ci est aussi de 2007 : http://thedailywtf.com/Articles/OneandaHalfTiered-Application-Design.aspx

Se défendre contre ce type d'attaque :

• Guide de défense contre ces attaques : http://websec.ca/kb/sql_injection
• Ce que recommandait Microsoft pour ASP.NET en 2005 (à titre indicatif seulement) : http://msdn.microsoft.com/en-us/library/ms998271.aspx
• Recommandations de Microsoft en 2008, pour développeurs Web comme pour administrateurs : http://blogs.technet.com/b/srd/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx
• En 2014, Jon Skeet nous recommande de dire « oui » au SQL paramétrique : http://codeblog.jonskeet.uk/2014/08/08/the-bobbytables-culture/

Injection XML

Quelques liens :

• Une explication de ce que c'est : http://www.site-reference.com/articles/Website-Development/Malicious-Code-Injection-It-s-Not-Just-for-SQL-Anymore.html

Injection de paramètres

Quelques liens :

• En 2014, Leon Juranic montre comment il est possible de pousser les Wildcards UNIX au maximum pour réaliser plusieurs formes d'exploitation : http://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt

Mots de passe

Texte de 2013 par Mikael Goldmann de l'équipe du produit Spotify, qui explique comment des individus quelque peu pervers sont parvenus à abuser de leur système de gestion des mots de passe : http://labs.spotify.com/2013/06/18/creative-usernames/