Cet article est purement informatif et en aucun cas une incitation au hacking ou/et autres activités illégales. ll s’agit simplement d’explications vous permettant de pouvoir tester et mettre en place les mesures de sécurité adéquates dans le cadre de vos applications web.

En aucun cas, ce site internet et l’auteur de cet article ne peuvent être reconnus responsables en cas d’activité illégale.

Burp Suite

Burp Suite est un ensemble d’outils utilisés afin de tester la sécurité des sites internet. Cette suite contient plusieurs outils ainsi que des interfaces afin de faciliter et d’accélérer le processus d’attaque sur une application. Un framework commun est utilisé afin de gérer les requêtes HTTP, la persistance, l’authentification, les proxy, etc.

L’un des gros avantages de cette suite c’est qu’il permet d’utiliser une combinaison de techniques manuelles et automatiques afin d’effectuer des analyses, des scans, des énumérations ainsi que l’exploitation des vulnérabilités d’une application web. Les différents outils de la suite fonctionnent de concert, vous pouvez utiliser l’un pour faire de l’énumération de login/password et un autre afin de le tester sur plusieurs pages ou plusieurs applications web.

Burp Proxy

Il s’agit d’un serveur de proxy HTTP/S. Il fonctionne comme un “man-in-the-middle” entre le navigateur et le serveur web que vous souhaitez atteindre, en particulier ce proxy permet d’intercepter, d’inspecter et de modifier les trafics (i.e. les requêtes HTTP par exemple) dans les deux directions. Vous pouvez donc trouver et exploiter des vulnérabilités en observant et manipulant des paramètres critiques et autres données transmises dans une application. En modification ces requêtes de manière “créative”, le proxy peut être utilisé afin d’effectuer des attaques de type SQL injection, “cookie subversion”, privilege escalation, hijacking session, buffer overflows, etc.

Burp Spider

Le Spider est un outil afin d’effectuer un “mapping” d’une application web. Utilisant des techniques dites “intelligentes” cet outil permet d’établir un inventaire du contenu et des fonctionnalités d’une application (i.e. entre autres une liste des différents fichiers et dossiers). Par conséquent, cet outil vous permet d’obtenir rapidement et automatiquement beaucoup d’information très utile dans le cadre du test d’une web application.

Burp Repeater is a tool for manually modifying and reissuing individual HTTP requests, and analysing their responses. It is best used in conjunction with the other Burp Suite tools. For example, you can send a request to Repeater from the target site map, from the Burp Proxy browsing history, or from the results of a Burp Intruder attack, and manually adjust the request to fine-tune an attack or probe for vulnerabilities.

Burp Intruder

L’Intruder est un outil permettant d’automatiser des attaques sur une application web. Vous pouvez utiliser cet outil pour effectuer différentes tâches, par exemple: énumération de compte utilisateurs, obtention d’informations utiles, techniques de “fuzzing”. Loin de se limiter à cette liste, l’Intruder pour également être utilisé pour tester des SQL injection, cross-site scripting, buffer overflows; attaque de type brute force sur les mécanismes d’authentification; recherche de contenu cachés; attaque sur les sessions token; et pour finir, on peut effectuer des attaques concurrentes afin de tester l’application en cas d’attaque de type deni de service.

Burp Repeater

Le Repeater permet, manuellement, de modifier et de soumettre à nouveau une requête HTTP. Bien l’analyse de la réponse à cette même requête est possible. Pour tirer le meilleur de cet outil, il est très souvent utilisé conjointement avec les autres outils de la suite. Afin d’y arriver, il est possible de transférer une requête HTTP vers le Repeater depuis Intruder, le Proxy, etc. et ainsi de l’analyser plus en détail.

Burp Sequencer

Cet outil permet de tester si les token de session (session ID) sont générés de manière aléatoire. On peut imaginer certains cas où il est possible de découvrir un schéma qui se répète dans ce processus de création de session ID et par conséquent pouvoir les prédire.

Burp Decoder et Burp Comparer

Les deux derniers outils permettent, respectivement de “décoder” des caractères et de faire une comparaison entre deux requêtes.

Burp Suite Professional

Il est existe une version professionnelle de la suite Burp. Cette version se différencie de la manière suivante:

• Possibilité d’enregistrer et de restaurer la configuration des différents outils
• Burp Scanner, qui permet d’effectuer de la recherche de vulnérabilités automatisées dans une application web.
• Engagement tools: ensemble d’outils secondaires par exemple: recherche, planification du lancement des outils, etc.
• Le prix (!), 149£ par année

Burp Suite sous Mac OS X

Burp Suite est un logiciel JAVA, il fonctionne parfaitement sous Mac OS X 10.6 (je n’ai pas testé sous les versions précédentes) malgré un message d’avertissement lorsque vous lancez le logiciel.

Partant du principe que Burp Proxy est l’outil de base, indispensable pour effectuer une analyse. Voici comment configurer le Burp Proxy ainsi que votre ordinateur:

• BSD (Berkeley Software Distribution)
• CDSA (Common Data Security Architecture)

Historiquement, BSD était considéré comme une branche d’UNIX (BSD UNIX puisqu’il partageait une base commune au niveau du code et du design avec le système d’exploitation original AT&T UNIX). Dès les années 1980, le BSD a été adopté par plusieurs vendeurs sous des formes propriétaires (DEC ULTRIX ou Sun Microsystems SunOS). Comme vous le savez Mac OS X est issu du noyau Mach et dérivé du BSD implémenté par Nextstep.
CDSA est composé de plusieurs services sécurités (organisés par couche) et de frameworks relatifs à la cryptographie. Pour être plus précis il s’agit d’un middleware qui offre la possibilité aux développeurs d’implémenter des éléments de sécurité au sein des applications. A noter que dans le cadre de Mac OS X, il est impossible d’appeler l’API CDSA directement. Apple considérant que l’API CDSA était trop compliqué et ne suivait pas les conventions de programmation, a préféré placer ces propres API sécurités qui se chargeront d’appeler ceux de CDSA.

L’architecture sécurité de Mac OS X est  donc basée sur plusieurs couches (layered architecture). BSD au plus bas niveau, CDSA au milieu (middleware), les API sécurités de Mac OS X puis les applications.

BSD et Mach
Le noyau de Mac OS X (le coeur du système) est basé sur BSD et sur Mac. Entre autres choses, BSD fournit un système de fichier basic, service de réseau et implémente un schéma d’identification pour les utilisateurs et les groupes. Ce dernier point consiste en la mise en application des restrictions d’accès aux fichiers et aux ressources système, le tout en se basant sur l’utilisateur et le groupe. C’est la fameuse nouvelle gestion des accès basés sur UNIX. Il est possible de restreindre l’accès selon trois points: l’utilisateur, le groupe et les autres (sous entendu tout le monde). Chacun de ces trois points définit un accès en lecture, écriture et exécution.
De son côté Mach apporte la gestion de la mémoire, des threads, l’abstraction matérielle et la communication interprocessus.  Mach permet donc de contrôler, quelle tâche envoie un message à quel port Mach (ou autres ressources Mach).

Ces deux éléments sont primordiaux à la sécurité de Mac OS X, mais ils sont également intimement liés. Si on arrive à casser la sécurité de l’un ou obtient accès à l’autre automatiquement. Attention tout de fois, BSD et Mach ne suffisent pas à implémenter un système sécurisé. Si BSD peut restreindre l’accès à un fichier ou une ressources mais par contre BSD ne permet pas de vérifier les mots de passe (et donc de s’assurer que la personne qui demande l’accès est bien celle qu’elle prétend). De manière similaire, Mach donne les droits à une tâche pour en contrôler une autre mais ne contrôle pas les données auxquelles la tâche accède.

CDSA
CDSA est une architecture sécurité Open Source adoptée comme un standard par l’Open Group. Apple c’est permis de développer sa propre implémentation de CDSA, le tout étant disponible dans le cadre de Darwin. Au coeur de CDSA, se trouve le CSSM (Common Security Services Manager) qui définit plusieurs modules ainsi qu’un API appeler CSSM API. Cet API permet d’accéder aux services de cryptographie, certificats, stockage sécurisé de données, ainsi que d’autre service de sécurités appelé “Apple CDSA Plug-ins”.

Mac OS X implémente une grande majorité des fonctionnalités de CSSM, ainsi qu’un ensemble de services sécurité qui permettent aux développeurs d’avoir une interface de programmation standardisée. A noter également que dans le but d’augmenter la sécurité des opérations sensibles, Mac OS X utilise un démon (daemon) appelé “Security Server”. Ce démon lance un processus distinct appelé, Security Agent, qui représente l’interface utilisateur du “Security Server.”

Le schéma ci-dessus illustre l’implémentation de CDSA dans Mac OS X. A noter que CDSA définit quatre couches dans son architecture et que cette illustration ne montre que le trois premières: les plug-ins CDSA, CSSM ainsi que les API sécurités de Mac OS X.

Conclusion

Ce bref article introduit l’architecture de base de la sécurité de Mac OS X. Comme vous pouvez le constater cette architecture est basée sur des bases solides. Plusieurs articles suivront pour introduire plus en détail certains concepts cités dans cet article.

Voici, une liste non exhaustive des fonctionnalités de base de ce logiciel:

• support de plusieurs protocoles (une centaine au total)
• capture du trafic en mode on/off line
• fenêtre de visualisation à trois volets
• fonctionne sur plusieurs systèmes d’exploitation: Windows, Linux, OS X, Solaris, Free BSD, netBSD, etc.
• utilisation de filtres pour faciliter l’analyse des données
• analyse du trafic VoIP
• lecture/écriture dans plusieurs formats: tcpdump, Pcap NG, Catapult DCT200, Cisco, Microsoft, etc…
• possibilité de compresser/décompresser les fichiers de capture à la volée
• les données peuvent être analysées sur plusieurs interfaces différentes: Ethernet, 802.11 (wifi), PPP/HDLC, ATM; Bluetooth, USB, Token Ring, Frame Relay, etc.
• support de la décompression de plusieurs protocoles comme IPsec, Kerberos, SNMP v3, SSL/TLS, WEP et WPA/WPA2

Certains peuvent également se demander pourquoi utiliser un tel logiciel? D’autres diront immédiatement que ce genre de logiciel est utilisé afin de faire de “l’écoute” sur le réseau et de pouvoir ainsi obtenir l’accès à des données confidentielles.
Premièrement, l’utilisation de Wireshark peut être particulièrement utile afin de trouver et réparer une panne ou un problème dans un réseau. Cet outil permet d’obtenir une meilleure compréhension de l’environnement et de l’infrastructure du réseau. Deuxièment, et je ne souhaite pas lancer un débat ici, effectivement ces outils peuvent être utilisé à des fins de Ethical Hacking.

Installation de Wireshark

A l’heure de l’écriture de cet article, la version la plus récente de Wireshark est la version 1.2.5. Vous pouvez la télécharger ici: http://www.wireshark.org/download.html. La version pour Mac OS X est téléchargeable au format binairies (déjà compiler), il suffit de glisser l’application dans votre dossier Applications et de double cliquer dessus. La seule chose importante est la suivante: vous devez installer X11. Normalement X11 est installé par défaut, si vous avez modifié l’installation du système vous devrez réinstaller ce logiciel afin de pouvoir utiliser Wireshark.

Dès que vous avez monté l’image disque, vous trouverez plusieurs dossiers (“Command Line”, “ChmodBPF” ainsi qu’un alias vers “Startup Items”). Entre autres un dossier appelé “Utilities”. Ce dossier contient plusieurs fichiers/scripts qui doivent être installés dans des répertoires spécifiques. En particulier le contenu sous répertoire “Command Line” doit être copié dans “/usr/local/bin”. Vous pouvez y parvenir via le Finder, mais voici les commandes taper dans le Terminal en partant du principe que vous avez copié le répertoire “Utilities” sur votre Bureau.

1
2
3
4

sudo mv /Users/sganiere/Desktop/Utilities/Command\ Line/ /usr/local/bin/
cd /usr/local/bin/Command\ Line/
sudo mv * ../
sudo rm -r /usr/local/bin/Command\ Line/

Attaquons-nous maintenant au répertoire “ChmodBPF”. Pour que Wireshark fonctionne correctement, il doit pouvoir accéder librement aux répertoires /dev/bpfX. Plus particulièrement ces répertoires sont utilisés par le “Berkeley Packet Filter” (BPF) afin de fournir un interface direct sur la couche “data” du protocole (couche numéro 2 dans le modèle ISO). L’accès à ces répertoires donne l’accès à tous les paquets du réseau y compris ceux destinés à d’autres machines.
Donc après cette petite explication, il faut glisser le répertoire “ChmodBPF” sur l’alias “Startup Item”. Pour ceux qui préfèremt utiliser le Terminal:

1

sudo mv /Users/sganiere/Desktop/ChmodBPF/ /Library/StartupItems

Si vous êtes sous Snow Leopard (Mac OS X 10.6), il vous faut encore modifier les autorisations sur ce répertoire:

1
2

cd /Library/StartupItems
sudo chown -R root:wheel ChmodBPF

Une fois arriver ici, il est donc conseiller de redémarrer afin de valider ces modifications et également de changer les autorisations sur ces répertoires /dev/bpfX.

Lancement de l’application

Une fois redémarré, vous pouvez lancer l’application. Le premier démarrage risque de prendre un peu de temps puisque X11 doit préparer un certain nombre d’éléments comme les polices de caractères, des dossiers de cache, etc. Si lors de ce premier démarrage vous observez un message d’erreur relatif au MIBS. Il faut modifier les préférences de Wireshark comme suit:

• Fermez le message d’erreur
• Ouvrez les préférences via le menu “Edit”
• Puis “SMI (MIB and PIB)” paths dans “Name Resolution”
• Cliquez sur “Edit”, puis “New” et ajouter “/usr/share/snmp/mibs/” dans la fenêtre popup “Directory Path”.
• Cliquez sur “Apply” et fermer la fenêtre des préférences
• Relancez l’application

Et voilà normalement vous pouvez utiliser Wireshark sans problème!

Sources:

• http://www.nightangel.fr/installer-wireshark-ethereal-sur-mac-os-x-leopard-snow-leopard
• http://michaelgracie.com/2009/10/13/getting-wireshark-running-on-os-x-snow-leopard-10.6/
• http://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf
• http://en.wikipedia.org/wiki/Management_information_base
• http://www.wireshark.org/docs/wsug_html_chunked/
• http://en.wikipedia.org/wiki/Wireshark

Introduction

Le compte utilisateur “root” possède tous les privilèges sur un système de type UNIX, sous entendus il peut accéder en lecture et en écriture l’entier du système et des données. C’est pourquoi il est important de limiter l’utilisation de compte au maximum, afin d’éviter tout problème de sécurité, de modifications de paramètres ou encore de perte de données. Il est vivement conseiller de désactiver ce compte après son utilisation, ou si vous n’utiliser pas ce compte de le laisser désactiver (configuration par défaut).

A noter qu’il est recommandé d’utiliser la commande “sudo” afin d’effectuer des tâches qui requièrent des accès avancés.

Remarques importantes

• Uniquement le propriétaire de l’ordinateur ou la personne désignée comme étant l’administrateur devrait être en possession du mot de passe du compte root
• N’importe quel utilisateur possédant les privilèges administrateurs peut “devenir” root ou encore modifier le mot de passe du compte root
• Il est recommandé d’utiliser un mot de passe complexe (8 caractères minimum, majuscule + minuscule, chiffre et autres caractères)
• Le compte “root” peut accéder à tous les fichiers du système, y compris les fichiers d’autres utilisateurs
• Le compte “root” peut modifier tous les fichiers du système, y compris les fichiers d’autres utilisateurs.

Activer le compte root sous Mac OS X 10.5 (Leopard)

1. Ouvrir l’application “Utilitaire d’Annuaire” (“Directory Utility” en anglais) qui se trouve dans le répertoire /Applications/Utilitaires.
2. Cliquez sur le cadenas en bas à gauche de la fenêtre.
3. Entrez votre les informations de votre compte administrateur (username + mot de passe).
4. Dans le menu “Edition”, choisissez “Activer l’utilisateur root”.
5. Entrez le mot de passe que vous souhaitez utiliser.

1

sudo visudo

A la fin de la section “# Defaults specification”, ajoutez la ligne suivante:

1

Defaults timestamp_timeout=0

Sauvez le fichier (:wq puisque vous utilisez l’éditeur vi) et maintenant à chaque fois que la commande sudo est utilisée il est nécessaire d’entrer le mot de passe.