loginteachers.com

VOUS NE TROUVEZ PAS CE QUE VOUS CHERCHEZ?

Utilisez notre moteur de recherche et trouvez tout ce dont vous avez besoin

Comment percer un site

index

  • Termes utiles
  • Comment percer un site web
    • VulnĂ©rabilitĂ© du serveur
    • VulnĂ©rabilitĂ© des composants installĂ©s
    • VulnĂ©rabilitĂ©s des systèmes d'authentification
    • VulnĂ©rabilitĂ© du CMS et des plugins

Termes utiles

Avant d'entrer dans le vif de ce guide et de vous montrer certaines des techniques utilisées par les cybercriminels pour violer la sécurité des sites, je pense qu'il est de mon devoir d'expliquer la signification de certains termes que j'utiliserai tout au long de ce guide.



  • Punaise - c'est le terme technique pour dĂ©finir une erreur de programmation logicielle. Les bugs de programmes et d'applications ne sont pas toujours liĂ©s Ă  la sĂ©curitĂ©, mais il n'est pas rare de rencontrer des problèmes de ce type. En règle gĂ©nĂ©rale, les bogues sont corrigĂ©s par des mises Ă  jour.
  • Exploiter - est le terme qui identifie un programme conçu avec l'intention spĂ©cifique d'exploiter un bogue au profit du criminel.
  • 0 jour(s) - avec ce mot sont dĂ©finis des « nouveaux » exploits, non encore connus des Ă©diteurs de logiciels de sĂ©curitĂ©, ni des concepteurs des logiciels impliquĂ©s.
  • Pièce - est la solution publiĂ©e par les programmeurs pour corriger un bogue. Habituellement, les correctifs sont publiĂ©s sous forme de mise Ă  jour mais, dans certains cas, ils peuvent ĂŞtre appliquĂ©s manuellement.
  • DĂ©tournĂ© - littĂ©ralement "porte dĂ©robĂ©e", c'est un canal d'accès que les cybercriminels laissent ouvert, afin d'accĂ©der au serveur de manière silencieuse et non perturbĂ©e.
  • DĂ©grader - est la pratique mise en Ĺ“uvre par les cybercriminels pour violer un site et dĂ©former sa page d'accueil et/ou l'intĂ©gralitĂ© de son contenu.
  • CMS - signifie Content Management System et identifie un ensemble de programmes qui simplifient considĂ©rablement la crĂ©ation de contenu dynamique (par exemple des sites Web).
  • Pare-feu - c'est un système qui protège les donnĂ©es en transit vers et depuis les appareils informatiques (serveurs, PC, routeurs, smartphones, tablettes, etc.). Il peut s'agir d'un logiciel ou d'un matĂ©riel.

Comment percer un site web

Les techniques utilisĂ©es par les cybercriminels pour percer un site web elles sont nombreuses et nĂ©cessitent très souvent une Ă©tude approfondie de la « cible ». Donc, pirater un site n'est ni simple ni immĂ©diat et, dans la plupart des cas, le succès des cybercriminels est une consĂ©quence directe d'une certaine nĂ©gligence de la part de celui qui gère le site, ou de celui qui hĂ©berge les machines sur lesquelles il est exĂ©cutĂ©.



Dans les dernières parties de ce didacticiel, je vais Ă©numĂ©rer certaines des techniques de piratage les plus connues des cybercriminels en mode Ă©loignĂ©, c'est-Ă -dire sans avoir accès physiquement Ă  la machine hĂ©bergeant le serveur (ce qui, en pratique, n'arrive presque jamais).

Vulnérabilité du serveur

Comme tout ce qui tourne autour des technologies de l'information, les sites Web sont également composés de fichiers, qui sont générés et gérés par une série de programmes exécutés sur un ordinateur (dans ce cas précis, par un serveur Web).

Généralement, un serveur exécute plusieurs dizaines de logiciels en même temps et échange en permanence des données avec l'extérieur : pour cette raison, un bug dans l'une des applications en cours d'exécution suffit à mettre en péril l'intégrité du serveur lui-même et des données qu'il contient. sont hébergés.

En règle gĂ©nĂ©rale, les vulnĂ©rabilitĂ©s les plus exploitĂ©es concernent le OS s'exĂ©cutant sur le serveur, ses composants principaux ou, parfois, je pilote de pĂ©riphĂ©rique MatĂ©riel. Concevoir l'attaque d'un serveur est assez complexe : pour analyser le logiciel en cours d'exĂ©cution et les Ă©ventuels bugs qu'il contient, il est nĂ©cessaire de contourner les restrictions de sĂ©curitĂ© imposĂ©es par le pare-feu et tout mĂ©canisme de protection supplĂ©mentaire.

Si le serveur est effectivement piraté, au moyen d'un exploiter ou un 0 jour(s), il est souvent possible de forcer l'exécution de code arbitraire, ce qui pourrait impliquer le site hébergé, créer une porte dérobée dédiée à un accès futur, ou effectuer d'autres opérations de ce type. Dans les cas graves, il pourrait également y avoir une véritable fuite de données.

Comment se dĂ©fendre ? Malheureusement, les bogues du système d'exploitation sont assez frĂ©quents ; il est vrai que, dans la plupart des cas, les dĂ©veloppeurs s'engagent Ă  publier des mises Ă  jour qui peuvent les corriger rapidement. Par consĂ©quent, mon conseil est de toujours mettre Ă  jour le système d'exploitation Ă  la dernière version disponible ou, au moins, d'appliquer rapidement les correctifs de sĂ©curitĂ© distribuĂ©s par les dĂ©veloppeurs.



Vulnérabilité des composants installés

Le même discours vu tout à l'heure vaut non seulement pour le système d'exploitation à bord d'un serveur Web, mais aussi pour tous les autres programmes installés sur la machine : un bug dans n'importe quel logiciel (même dans le gestionnaire de base de données !) .

Comment se dĂ©fendre ? Dans ce cas Ă©galement, mon conseil est de maintenir le logiciel du serveur Ă  jour en permanence, en appliquant Ă©galement, dès que possible, les correctifs de sĂ©curitĂ© publiĂ©s par les dĂ©veloppeurs.

Vulnérabilités des systèmes d'authentification

Un autre problème grave concerne la systèmes d'authentification en usage pour divers sites Web : il peut arriver qu'un protocole obsolète, un algorithme de cryptage craquĂ© ou, encore, un Ă©change de mot de passe non protĂ©gĂ©, permette Ă  un cybercriminel d'acquĂ©rir la propriĂ©tĂ© ducompte administratif du portail ou, pire encore, de toutes les donnĂ©es prĂ©sentes dans la base de donnĂ©es et/ou dans le dossier du site.

Habituellement, cette technique d'attaque a pour consĂ©quence directe la dĂ©figurer du portail Web, c'est-Ă -dire la distorsion complète du contenu de la page principale ou d'autres pages du site. Si le système de gestion du site permet, via son interface, de visualiser les donnĂ©es enregistrĂ©es dans la mĂ©moire, un criminel pourrait Ă©galement avoir librement accès Ă  ces dernières.

comment te dĂ©fendre ? Premièrement, il est impĂ©ratif de protĂ©ger les donnĂ©es en transit vers et depuis le site Web cryptĂ© SSL, configuration du serveur pour utiliser le protocole de connexion sĂ©curisĂ© HTTPS. Deuxièmement, si le site contient des pages de connexion, il convient de vĂ©rifier qu'elles fonctionnent correctement et que le code correspondant ne donne pas lieu Ă  des Ă©vĂ©nements inattendus, qui pourraient mettre en danger l'intĂ©gritĂ© du site.



Enfin, bien sûr, tout accès au site doit être protégé par des mots de passe sécurisés et difficiles à deviner, mais je pense qu'il n'y a pas grand-chose à dire à ce sujet : ce doit être l'ABC de la vie sur le Web.

Vulnérabilité du CMS et des plugins

De nombreux sites Web existants sur le Net sont crĂ©Ă©s Ă  l'aide de CMS, c'est-Ă -dire Ă  travers des systèmes qui vous permettent de crĂ©er, mettre Ă  jour, manipuler et gĂ©rer des portails simples et complexes, sans avoir besoin d'Ă©crire manuellement le code de chaque page, par exemple le très cĂ©lèbre WordPress.

Les CMS sont aussi des programmes et, malheureusement, ils peuvent faire l'objet de bugs et dysfonctionnements de divers types. En particulier, les problèmes de sécurité des CMS open source sont très souvent divulgués à la communauté : si cela, d'une part, aide les développeurs à mettre en place les correctifs de sécurité le plus rapidement et efficacement possible, d'autre part cela aide les cybercriminels à les rendre spécifiques. exploits et 0-days pour un bug donné.

Malheureusement, ces exploits sont gĂ©nĂ©ralement utilisĂ©s (avec succès) sur tous les sites construits Ă  l'aide de CMS obsolètes, avec toutes les consĂ©quences Ă©videntes de l'affaire. Donc, si vous l'Ă©tiez, votre intention Ă©tait de comprendre comment percer un site WordPress ou tout autre portail crĂ©Ă© via un CMS, la rĂ©ponse est vite donnĂ©e : il suffit d'analyser la version du CMS utilisĂ©e et de faire une petite recherche sur le Net sur les vulnĂ©rabilitĂ©s actives. Un peu d'expĂ©rience et beaucoup de patience pourraient faire le reste !

Il en va de mĂŞme pour le plug-in installĂ©s dans les diffĂ©rents CMS : un bug Ă  l'intĂ©rieur d'un add-on pourrait compromettre la stabilitĂ© de l'ensemble du site et de son système de gestion, mĂŞme si ce dernier est, nativement, exempt de bugs.

Comment se dĂ©fendre ? Encore une fois la mise Ă  jour est le maĂ®tre mot : si vous gĂ©rez un site web, il est très important de bien connaĂ®tre ses mĂ©thodes de construction, le CMS utilisĂ© et les Ă©ventuels plugins installĂ©s, et de se renseigner en permanence sur l'intĂ©gritĂ© de ces composants. De cette façon, vous pouvez prendre connaissance de toutes les vulnĂ©rabilitĂ©s avant mĂŞme que les criminels ne commencent Ă  les exploiter, en appliquant les mises Ă  jour et les correctifs nĂ©cessaires dans les plus brefs dĂ©lais.

Comment percer un site

Audio Video Comment percer un site
Ajouter un commentaire de Comment percer un site
Commentaire envoyé avec succès ! Nous l'examinerons dans les prochaines heures.