Temps de lecture : 6 minutes
Contenu:
1. Introduction
2. Préparer l'environnement
3. Analyse et prévention des attaques
4. Conclusion
1) Introduction
Les applications Web sont sans doute l'élément le plus important de l'infrastructure en ligne d'aujourd'hui. Ils sont utilisés pour alimenter de nombreuses fonctionnalités essentielles aux activités en ligne, notamment le contenu dynamique, les systèmes de paiement, la messagerie Web, les boutiques en ligne, les logiciels en tant que service, les forums, les médias sociaux, etc.
Malheureusement, l'importance des applications Web en fait également une cible de choix pour les attaquants. Une violation réussie d'une application Web importante pourrait entraîner une dévastation financière, une perte de propriété intellectuelle, des données client compromises ou de graves dommages à la réputation. Une protection solide et persistante des applications Web est donc une considération importante pour toute entreprise ayant une présence en ligne.
Cet article explique comment utiliser les règles mod_security et l'application Web Comodo Pare-feu (CWAF) pour configurer rapidement et facilement une protection puissante et en temps réel pour vos applications Web. Nous testons également le système que nous avons mis en place en illustrant comment il protège contre un certain nombre d'attaques bien connues.
Téléchargez et installez le pare-feu d'applications Web Comodo gratuitement sur https://waf.comodo.com/
2) Préparer l'environnement
Configuration requise:
- Un système Linux avec une connexion Internet. Dans notre exemple, nous utiliserons CentOS 7.x;
- 1 Go d'espace libre sur le disque dur;
- 512 Mo de RAM libre;
Nous utiliserons Docker comme environnement d'émulation, ce qui nous donne la possibilité de configurer rapidement notre environnement de test. Sachez que le logiciel contenu dans l'image est vulnérable et NE PEUT ÊTRE UTILISÉ pour aucun système de production.
Commandes de la console pour préparer l'environnement:
# yum installer le docker
# docker pull comodo63 / b_centos_63
# docker run -p 8080: 80 -it comodo63 / b_centos_63 / bin / bash
La dernière commande redirige le port 8080 de la machine hôte vers le port 80 sur la machine virtuelle. Si tout va bien, vous serez à l'intérieur du shell racine dans l'image du docker:
bash-4.1 #
L'image contient:
- Version vulnérable de Centos v6.3
- DVWA 1.0.7 (http://www.dvwa.co.uk/)
- WordPress 3.5 avec le plugin vulnérable Slider Revolution 4.1.4
- Serveur Web Apache 2.2.15
- PHP 5.3.3
- MySQL 5.1.73
- Python 2.7
- ModSécurité 2.9.1
- sqlmap 1.1.1.20
- tester les scripts dans / soft /
3) Analyse et prévention des attaques
Regardons comment fonctionnent les pirates en montrant des exemples d'attaques courantes sur les applications Web. Nous examinerons certains des exploits CVE les plus notoires et des attaques classiques.
Nous allons vous montrer comment recréer ces attaques étape par étape et comment la CWAF se défend contre elles.
- Vous devrez désactiver le CWAF à l'avance si vous souhaitez recréer les exploits. Pour ce faire, tapez la commande suivante dans la console:
# python /soft/modsec_.py sur
- Pour réactiver ModSecurity avec l'application Web Comodo Pare-feu (CWAF) règles installées, tapez la commande suivante dans la console:
# python /soft/modsec_.py désactivé
Cas A:
Vulnérabilité: téléchargement de fichier arbitraire
Application: plugin WordPress Slider Revolution 4.1.4 (CVE-2014-9734)
En 2014, l'équipe de recherche SUCURI a publié un article, «RevSlider Vulnerability Leads To Massive WordPress SoakSoak Compromise», qui décrit comment télécharger un fichier arbitraire à partir d'un serveur d'hébergement avec le plugin Slider Revolution installé.
Voir CVE-2014-9734 à cve.mitre.org
Voyons comment cette vulnérabilité est utilisée par les pirates.
Condition préalable:
- CWAF désactivé
Pour reproduire l'attaque, nous avons préinstallé WordpPress 3.5 et le plugin Revslider 2.3.3. Les informations de connexion par défaut pour le panneau d'administration WP sont:
URL : http://127.0.0.1/wordpress/wp-admin/
Nom d'utilisateur: admin
Mot de passe: admin
Figure 1. Version de WordPress
Technique d'attaque courante pour cette vulnérabilité décrite dans l'exploit public: https://www.exploit-db.com/exploits/36554/
Pour démontrer la vulnérabilité, entrez cette URL dans un navigateur Web sur la machine hôte:
http://127.0.0.1:8080/wordpress/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
ou utilisez cette commande de console: http: //127.0.0.1/wordpress/wp-admin/admin-ajax.php? action = revslider_show_image & i
# wget "http://127.0.0.1:8080/wordpress/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php" -O wp-config.php
Cela ouvrira un fichier wp-config.php comme celui-ci:
Figure 3. Fichier de configuration téléchargé
Avec ce fichier, les intrus peuvent accéder à votre base de données ou au panneau d'administration WordPress. C'est une vulnérabilité critique.
Maintenant, essayez avec l'application Web Comodo Pare-feu fonctionnement. Avec les règles Comodo actives, la visite de la même URL conduit à un message 403: Interdit:
Figure 4. Attaque CVE-20114-9734 bloquée
Vous pouvez également essayer l'exploit en utilisant la console, et obtenir le même résultat 403:
# wget "http://127.0.0.1:8080/wordpress/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php" -O wp-config.php
–2017-04-05 11:09:06– http://127.0.0.1:8080/wordpress/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
Connexion à 127.0.0.1:8080 ... connectée.
Requête HTTP envoyée, en attente de réponse… 403 Interdit
2017-04-05 11:09:06 ERREUR 403: Interdit.
CWAF empêche les intrus d'accéder à vos fichiers Web en utilisant cette vulnérabilité.
CAS B:
Vulnérabilité: exécution de code à distance
Application: GNU Bash jusqu'à 4.3 / HTTPd (ShellShock, CVE-2014-6271)
Voir CVE-2014-6271 publié sur cve.mitre.org
Voyons comment cette vulnérabilité est utilisée par les pirates.
Conditions préalables:
- CWAF désactivé
Voici le texte du fichier test.cgi du serveur HTTPd:
#! / Bin / bash
echo "Content-type: text / plain"
écho.
echo
echo "Salut"
Ensuite, visitez cette URL dans le navigateur de votre machine hôte http://127.0.0.1:8080/cgi-bin/test.cgi . Vous verrez le message «Salut». Vous pouvez également le récupérer via la console:
# wget "http://127.0.0.1:8080/cgi-bin/test.cgi" -O out.txt && cat out.txt
Il s'agit d'un comportement attendu.
Vous pouvez en savoir plus sur cet exploit ici: https://github.com/XiphosResearch/exploits/tree/master/shellshock
Nous utiliserons une version allégée de l'exploit pour reproduire la vulnérabilité. Il accepte une URL vers un script bogué comme paramètre et nécessite une commande bash pour s'exécuter (utilisons: "cat / etc / passwd" à des fins de démonstration). Tapez la commande suivante dans la console du conteneur du docker:
# python /soft/github_exploit/shell_sh.py http://127.0.0.1/cgi-bin/test.cgi
Lorsque vous voyez «Enter bash command:», tapez:
# cat / etc / passwd
… Et vous pourrez lire le contenu du fichier de mot de passe système.
Figure 5. Exécution de code à distance sur un système vulnérable ShellShock
Grâce à cette vulnérabilité critique, les attaquants peuvent exécuter toutes les commandes shell et voler des informations sensibles.
Maintenant, activez CWAF et réessayez l'exploit. Vous obtiendrez un code de réponse 403 (interdit) comme auparavant:
Figure 6. Attaque ShellShock bloquée
CWAF bloque avec succès l'attaque ShellShock et empêche la vulnérabilité d'exécution de code à distance.
CAS C:
Vulnérabilité: XSS reflété
Application : application Web sacrément vulnérable (DVWA)
Conditions préalables:
- CWAF désactivé
Voici les étapes pour reproduire la vulnérabilité:
1. Connectez-vous à http://127.0.0.1:8080/dvwa/login.php sur votre machine hôte avec les informations d'identification suivantes:
nom d'utilisateur: admin
mot de passe: mot de passe
2. Ouvrez la page «DVWA Security» et réglez-la sur «low»
3. Ouvrez la page «XSS reflété»
4. Entrez cette URL dans votre navigateur: http://127.0.0.1:8080/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert(%27Hello%20John_%27)%3C/script%3E
ou dans la console:
# wget "http://127.0.0.1:8080/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert(%27Hello%20John_%27)%3C/script%3E" -O out.txt && cat out. SMS
La sortie sera la suivante:
Figure 7. XSS reflété dans DVWA
Encore une fois, ce type de vulnérabilité peut être abusé par un attaquant pour exécuter des exploits sur votre application Web.
Activez CWAF et testez à nouveau cette vulnérabilité. Une fois de plus, la CWAF interdit l'accès à la ressource:
Figure 8. Le CWAF protège contre le XSS réfléchi
CAS D:
Tests automatisés CVE et DVWA
Conditions préalables:
- CWAF désactivé
Allez dans le répertoire / soft / et vous verrez quelques scripts python:
wp_revslider.py - Vérification des bogues du plugin WordPress Revslider
shellshock.py - Bogue Shellshock dans le contrôle bash
dvwa_s_xss.py - bogue XSS stocké dans la vérification DVWA
dvwa_r_xss.py - bug XSS reflété dans la vérification DVWA
dvwa_exec.py - Bogue RCE dans la vérification DVWA
dvwa_sqli.py - Bogue SQLI dans la vérification DVWA avec l'outil sqlmap
all_scans.py - tous les contrôles ensemble
Pour effectuer une seule analyse automatisée, démarrez n'importe quel script avec la commande suivante:
# python
Ou vous pouvez démarrer toutes les analyses avec la commande suivante:
# python /soft/all_scans.py
La sortie est la suivante:
Figure 9. Analyse automatisée du système non protégé
Activez CWAF et relancez les tests automatisés. Toutes les attaques sont bloquées, comme illustré dans la capture d'écran suivante:
Figure 10. Le CWAF protège avec succès le serveur contre diverses vulnérabilités
Si vous vérifiez votre journal d'accès au serveur Web, vous verrez plusieurs demandes d'outils automatisés pour pirater votre site Web qui ont été bloquées par la CWAF.
4. Conclusion
Règles de sécurité Comodo Mod et Pare-feu d'applications Web mettra en œuvre une protection solide et en temps réel sur votre serveur Web contre les hacks et les exploits les plus sophistiqués. La meilleure partie? C'est 100% gratuit. Mod Security de Comodo est constamment mis à jour pour offrir une protection cohérente au fil du temps contre les menaces à mesure qu'elles apparaissent. Pour en savoir plus et télécharger, veuillez visiter https://waf.comodo.com/
TESTEZ VOTRE SÉCURITÉ PAR COURRIEL OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE Source : https://blog.comodo.com/it-security/learn-comodo-mod_security-rules-will-protect-web-servers-attack-free/
