Attaques de serveurs web

DEUS ESFR ITBR Mars 2013

Vulnrabilit des services web

Les premires attaques rseau exploitaient des vulnrabilits lies l'implmentation des protocoles de la suite TCP/IP. Avec la correction progressive de ces vulnrabilits les attaques se sont dcales vers les couches applicatives et en particulier le web, dans la mesure o la plupart des entreprises ouvrent leur systme pare-feu pour le traffic destin au web. Le protocole HTTP (ou HTTPS) est le standard permettant de vhiculer les pages web par un mcanisme de requtes et de rponses. Utilis essentiellement pour transporter des pages web informationnelles (pages web statiques), le web est rapidement devenu un support interactif permettant de fournir des services en ligne. Le terme d' application web dsigne ainsi toute application dont l'interface est accessible travers le web l'aide d'un simple navigateur. Devenu le support d'un certain nombre de technologies (SOAP, Javascript, XML RPC, etc.), le protocole HTTP possde dsormais un rle stratgique certain dans la scurit des systmes d'information. Dans la mesure o les serveurs web sont de plus en plus scuriss, les attaques se sont progressivement dcales vers l'exploitation des failles des applications web. Ainsi, la scurit des services web doit tre un lment pris en compte ds leur conception et leur dveloppement.

Types de vulnrabilits

Les vulnrabilits des applications web peuvent tre catgorises de la manire suivante :

Vulnrabilits du serveur web. Ce type de cas est de plus en plus rare car au fur et mesure des annes les principaux dveloppeurs de serveurs web ont renforc leur scurisation ; Manipulation des URL, consistant modifier manuellement les paramtres des URL afin de modifier le comportement attendu du serveur web ; Exploitation des faiblesses des identifiants de session et des mcanismes d'authentification ; Injection de code HTML et Cross-Site Scripting ; Injection de commandes SQL.

La ncessaire vrification des donnes d'entre

Le protocole HTTP est par nature prvu pour grer des requtes, c'est--dire recevoir des donnes en entre et envoyer des donnes en retour. Les donnes peuvent tre envoyes de diverses faons :

Via l'URL de la page web Dans les en-ttes HTTP Dans le corps de la requte (requte POST) Via un cookie

Le principe de base retenir d'une manire gnrale lors de tout dveloppement informatique est qu'il ne faut pas faire confiance aux donnes envoyes par le client. Ainsi, la quasi-totalit des vulnrabilits des services web est lie aux ngligences des concepteurs, ne faisant pas de vrifications sur le format des donnes saisies par les utilisateurs.

Impact des attaques web

Les attaques l'encontre des applications web sont toujours nuisibles car elles donnent une mauvaise image de l'entreprise. Les consquences d'une attaque russie peuvent notamment tre une des suivantes :

Dfacement de site web ; Vol d'informations ; Modification de donnes, notamment modification de donnes personnelles d'utilisateurs ; Intrusion sur le serveur web.