View
2.513
Download
4
Category
Preview:
DESCRIPTION
Diapo pour ma soutenance orale lors de la présentation de mon stage de fin de Master 2 Sécurité des Systèmes d'Information réalisé au sein de Capgemini Services à Rennes. Soutenance ayant eu lieu le mardi 3 Septembre à l'université de Rennes 1.
Citation preview
Sujet de stage:Audit de vulnérabilité et
tests d’intrusion
4 Mars 31 Août 2013
Copyright © Capgemini 2012. All Rights Reserved
Division
2
Contenu de la présentation
Présentation de Capgemini
Contexte et objectifs du stage
Tests d’intrusion au niveau applications web
Tests d‘intrusion systèmes et réseaux
Contrôle d’accès et gestion d’identités
Bilan du stage
Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Copyright © Capgemini 2012. All Rights Reserved
Division
3Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Présentation de Capgemini
Notoriété internationale
Plus de 125 000 collaborateurs
Travaillent répartis à travers 44 pays
Rassemblent 100 langues
Et réalisent un chiffre d’affaires de 10 264 millions d’euros!
4 métiers
L’intégration de systèmes
L’infogérance
Les services informatiques de proximité
Le consulting
Centre de compétences
Custom Software Development Développement de systèmes
d’information spécifiques
Services Planifier, concevoir, développer, intégrer
et gérer les systèmes d’information
Offre Sécurité à Rennes
Gouvernance SSI Architectures de sécurité Sécurité dans les développements Audits de sécurité Gestion des identités Sécurité du cloud
Contexte et objectifs du stage
Copyright © Capgemini 2012. All Rights Reserved
Division
5Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Contexte et objectifs du stage
Contexte Objectifs
Entreprise Equipe Sécurité de Capgemini Services à Rennes
Offre Audits de sécurité Enrichir l’offre en créant l’axe Audits dynamiques de sécurité proposant des prestations de tests d’intrusion
Enrichir l’offre Sécurité
Copyright © Capgemini 2012. All Rights Reserved
Division
6Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Contexte et objectifs du stage
Qu’est-ce qu’un test d’intrusion (pentest) ?
C’est une technique d’évaluation dynamique du niveau de sécurité de l’objet étudié.
L’auditeur, le pentester, bien que pouvant avoir différents niveaux de connaissance
sur la cible, se comporte comme un attaquant.
L’objectif étant de mettre en lumière les risques présentés par la cible et l’impact que
ceux-ci peuvent avoir pour le client s’ils sont exploités par un utilisateur malintentionné.
Copyright © Capgemini 2012. All Rights Reserved
Division
7Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Contexte et objectifs du stage
Quels types de tests d’intrusions ?
En premier lieu: pentest d’applications web• 80 % des attaques actuelles*
• Prestation déjà demandée par des clients
En second lieu: pentest systèmes et réseaux• Configurations de sécurité
Ouverture: Contrôle d’accès et gestion d’identités
* source: Gartner
Tests d’intrusion: Applications web
Copyright © Capgemini 2012. All Rights Reserved
Division
9Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Tests d’intrusion au niveau applications web
Les applications web sont à 80% les cibles des attaquants
Applications de paiements, de partage, de gestion de données
personnelles, …
Besoin évident de sécurité
L’OWASP livre de nombreuses solutions pour sécuriser ces applications
Documents de références
Outils
Plateformes de tests
Copyright © Capgemini 2012. All Rights Reserved
Division
10Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Tests d’intrusion au niveau applications web
Objectif: Réaliser une démarche outillée, utilisable par les membres de
l’équipe Sécurité, pour réaliser une prestation de pentest.
Pour cela: Nécessité de monter en compétences Etude du TOP 10 OWASP et des recommandations associées Lecture du Testing Guide Lecture de nombreux articles (SQL injection, XPath injection, XSS, …) Mise en pratique sur des plateformes de tests
• WebGoat, par l’OWASP
• Mutillidae, par le projet NOWASP
• Root-me, site de challenges
Copyright © Capgemini 2012. All Rights Reserved
Division
11Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Tests d’intrusion au niveau applications web
Le livrable de démarche d’un test d’intrusion d’une application web
Suit les 4 grandes étapes d’un pentest
Couvre l’intégralité du TOP 10 OWASP
Présente de nombreux outils avec captures d’écran
Illustre des exemples d’exploitation de vulnérabilités
Enonce les recommandations et contre-mesures à suivre
Fournit des références vers des articles et scénarios d’attaques
Collecte d’informations
Recherche de vulnérabilités
Exploitation des vulnérabilités
Rendu d’un rapport
Copyright © Capgemini 2012. All Rights Reserved
Division
12Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Tests d’intrusion au niveau applications web
Retour d’expérience: pentest d’une journée sur un projet client
Application web de paiement en ligne• Échange de données sensibles: nom, prénom, numéro de carte bleue, prix, …
Plusieurs vulnérabilités identifiées• Cross Site Request Forgery mais non exploitable
• Mauvaise configuration de sécurité:– Méthodes HTTP « dangereuses » autorisées
– Les paramètres peuvent être envoyés en GET ou POST
• Paramètres échangés non vérifiés– Modification acceptée de l’id du commerçant
– Modification acceptée du prix de la transaction
Tests d’intrusion: Systèmes et Réseaux
Copyright © Capgemini 2012. All Rights Reserved
Division
14Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Tests d’intrusion systèmes et réseaux
Objectif: Initier une démarche de test d’intrusion exploitable par les
membres de l’équipe Sécurité pour réaliser une prestation de pentest.
Documentation puis mise en pratique avec la plateforme Kioptrix* dont
l’objectif est d’acquérir les droits « root » sur la machine.
Plusieurs failles de sécurité affectent l’environnement de tests
il y a donc plusieurs méthodes pour atteindre l’objectif.
* kioptrix.com
Copyright © Capgemini 2012. All Rights Reserved
Division
15Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
3. Exploitation des vulnérabilitésTéléchargement, compilation et exécution d’un exploit pour l’augmentation de privilèges
3. Exploitation des vulnérabilitésInjection de commandes systèmes pour télécharger le script de remote shell configuré
3. Exploitation des vulnérabilitésInjection SQL pour passer l’authentification
Tests d’intrusion systèmes et réseaux
KIOPTRIX
Adresse IP
Ports ouverts
Nmap
SQLi
RCE
Reverse shellConsole d’admin
Serveur web
Netcat
apache
2. Recherche de vulnérabilitésAccès à la page d’accueil du serveur web
1. Collecte d’informationIdentification sur le réseau puis scan des ports, services et versions
2. Recherche de vulnérabilitésAnalyse du fonctionnement de la console d’administration.Injection de commandes systèmes « inoffensives »
2. Recherche de vulnérabilitésBases de données publiques des vulnérabilités connues
1. Collecte d’informationIdentification de la version de l’OS et du noyau Linux
root
Kernel
Exploitwget
Contrôle d’accès et gestion d’identités
Copyright © Capgemini 2012. All Rights Reserved
Division
17Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Contrôle d’accès et gestion d’identités
Objectif: Comprendre le mécanisme de Single Sign-On
Conception d’une architecture utilisant
Configuration du portail web-SSO: interface d’administration, politiques de sécurité…
Ajout de composants afin de simuler un environnement de production
Etude des échanges entre les acteurs
Principe de l’authentification unique:
un utilisateur ne s’identifie qu’une seule fois pour
accéder à différentes applications protégées.
Copyright © Capgemini 2012. All Rights Reserved
Division
18Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Contrôle d’accès et gestion d’identités
Utilisateur
Admin réseau
12
34
5
6
7
8
9
Bilan du stage
Copyright © Capgemini 2012. All Rights Reserved
Division
20Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Bilan du stage
Atteinte des objectifs: Tests d’intrusion au niveau applications web
• Montée en compétences: outils et techniques de collecte d’informations, de recherche et d’exploitation de vulnérabilités.
• Document de démarche complet.
Tests d’intrusion systèmes et réseaux• Document de démarche commencé.
Contrôle d’accès et gestion d’identités• Mise en place d’un environnement de tests, semblable à un environnement de production pour la
solution OpenAM: compréhension du mécanisme d’authentification
Copyright © Capgemini 2012. All Rights Reserved
Division
21Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
Bilan du stage
Nombreuses connaissances acquises en pentest et IAM.
Mes livrables seront utilisés par l’équipe.
Très bon environnement de travail: locaux neufs et agréables.
Bonne ambiance au sein de l’équipe Sécurité.
Début le 23 Septembre
The information contained in this presentation is proprietary.© 2012 Capgemini. All rights reserved.
www.capgemini.com
Recommended