-
Notifications
You must be signed in to change notification settings - Fork 0
Sécurisation du service WEB
Cette attaque profite d'une faille dans le protocole SSL 3.0, permettant à l'attaquant de saisir et décrypter les cookies HTTPS sur le navigateur d'un utilisateur de ce fait il peut détourner la session de la victime. C'est attaque est généralement réalisé par le chargement d'un code javascript BEAST dans le navigateur de la victime bien que particulièrement difficile à exécuter.
Attaque par déni de service distribué(DDoS) vise à pertuber le fonctionnement des services. Techniquement, ce type d'attaque envoie un volumen élevé de trafic pour surcharger le fonctionnement normal d'un service, d'un serveur ou d'une interconnexion de réseau, les rendant ainsi indisponibles. Elle est en effet beaucoup plus pertubant que l'attaque DoS qui permet juste d'intérompre les services. Dans notre cas présent elle pourrait intérrompre les services permettant au site internet de fonctionner normalement.
Cette attaque vise à injecter des scripts malveillant côté client dans les pages web consultés par les d'autres utilisateur. Elle est généralement utilisé afin de contourner les contrôles d'accès. Les failles qui permettent à ces attaques de réussir sont assez répandues et se produisent partout où une application web utilise l'entrée d'un utilisateur dans la sortie qu'elle génère sans la valider ou l'encoder.
Afin de déterminer si on est vulnérable à ce type d'attaque, il faudra effectuer un examen de sécurité sur le code et rechercher tous les endroit où l'entrée d'une requête HTTP pourrait être utilisées pour transmettre un Javascript malveillant. Il existe plusieurs outils disponibles tels que Nessus, Nikto qui permettent d'analyser les sites web à la recherche de ces défauts. d'autre part une bonne qualité de codage permet aussi d'éviter ce genre de faille.
C'est une technique permettant d'injecter du code de type SQL langage utilisés pour la manipulation des bases de données dans les champs des formulaires web ou dans les liens des pages afin des envoyer au serveur. De cette façon les attaquants réussissent à passer les contrôles de sécurité et parviennet à afficher ou à modifier les éléments présents dans un base de données tels que des mots de passe. Cette attaque permet ainsi l'accès à toutes les données personnelles ou non personnelles contenues dans une base de données SQL
Afin de se protéger au mieux de se type d'attaque qui vise particuliérement les protocoles de sécurité mis en place telles que TLS et SSL il est important d'éffectuer des mises à jour régulière des protocoles de sécurité et ne pas utiliser une acienne version succeptible de contenir encore des failles de sécurité.
Afin d'anticiper ce type d'attaque il est important de mettre en place : un pare feu ainsi qu'un répartiteur de charge qui peuvent contribuer à absorber certaines attaques DDoS. Les pare-feux peuvent ainsi être utilisés pour filtrer du trafic en fonction du protocole de transport et des ports source ou destination, ou encore limiter le nombre de requêtes par adresse IP source à destination d'un serveur.
Une attaque DDoS vise normalement à épuiser les ressources mémoire de la cible. Dans ce cas, les pare-feux et répartiteur de charges seront les premiers élément de l'infrastructure à être touchés. Bien que ce sont des protection de base, il est nécessaire de se prémunir de certains équipement supplémentaire afin de se protéger au max tels que
- Effectuer du filtrage basé sur la position géographique des sources
- Limiter le nombre de requêtes dans un intervalle de temps donné pour des ressource particulières
- Définir des seuils de détection d'attaque en fonction de paramètres comme la bande passante.
Afin d'éviter ce type d'injection qui peut s'avérer critique, il est impératif d'abopeter des bonne pratiques de filtrage de données lorsqu'un utilisateur est amené à saisir une quelconque donnée. Des fonctions de filtrage en PHP peuvent permettre d'appliquer certaines règles lors du traitement du flux de données transmis.
Adopter des bonnes pratques de programmation, vérifier le type de chaque données transmises et maintenir son code à jour, permet de limiter ce genre de faille.
Du côté utilisateur ce type d'attaque peut venir de n'importe où depuis un mail un lien contaminé. des outils de protection tels que paladin browser protection peuvent permettre de détecter ce genre de failles.
Afin d'empêcher la modification ou suppression d'éléments de notre base de données il est nécessaire de préférer non seulement l'utilisation des comptes utilisateurs à accès limité mais aussi de mettre en place une vérification des données avec des expréssions régulières.
Une solution mais qui n'est pas la plus adapté pour les petits sites vitrine est de mettre en place un ORM qui rajoute une couche d'abstraction entre la couche applicative et la base de données.
Le protocole https à été mis en place pour nos différents site www et b2b et ceci grâce au module certbot qui nous permet de générer automatique des certificats TLS/SSL afin d'activer l'HTTPS et permettre une authentification. Avec une mise à jour régulière de ces module SSL, TLS, On évite ainsi les attaque Beast visées sur les protocoles de sécurité.
- installation de certbot
sudo apt install certbot python3-certbot-apache
- installation du pare feu
sudo apt install ufw
ufw allow 'Apache Full'
ufw delete allow 'Apache'
- Obtention du certificat SSL
certbot --apache
Le module UFW Uncomplicated Firewall à été activer sur le conteneur qui contient les différents site web ce qui nous permet de filtrer toutes les connexions à nos différents sites web. Il va nous permettre de bloquer toutes les connexions non désirées et les personnes qui essaie d'exploiter les différentes failles de sécurité sur le site internet.
Le pare-feu nous permet ainsi de contrer les attaques telles que DDoS et XSS
Le service Fail2Ban nous permet de bloquer les tentives de connexion répétées sur notre serveur cela permet ainsi de nous protéger au mieux contre les attaque par brute force sur le serveur web. Le service analyse les logs de divers services SSH, Apache en cherchant des correspondances entre motifs définis dans ses filtres et les entrées des logs. Lorsqu'une correspondanse est trouvée et qu'elle correspond à une tentative de connexion répétée, Fail2ban procède à un bannissement en ajoutant une règle au pare-feu iptables ou nftables pour bannir l'adresse ip source
Etant donnée que nos site ne comporte pas de formulaire on a donc aucune entré utilisateur néamoins un attaquants pour soumettre une code malveillant via le lien sur le navigateur il est donc important de prendre en considération cette attaque malgré que le site ne comporte aucune entrée du côté client.
Ces attaques permettent à un utilisateur malveillant d'éxécuter des actions à l'aide des identifiants d'un autre utilisateur sans que cet uilisateur ne soit informé ou consentant.
D'autre attaque comme le clickjacking ou encore le déni de service sont des menaces qui n'ont pas encore été couvert mais qui doivent être pris en considération.
- Analyse service DNS
- Etat des configurations du service DNS
- Documentation du service DNS
- Sécurisation du service DNS
- Analyse service WEB
- Etat des configurations du service WEB
- Documentation du service WEB
- Sécurisation du service WEB
- Analyse service MAIL
- Etat des configurations du service MAIL
- Documentation du service MAIL
- Sécurisation du service MAIL
- Analyse service Interne
- Etat des configurations du service Interne
- Documentation du service Interne
- Sécurisation du service Interne