Print

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

Le mode "test des applications web" de Nessus scanner de vunérabilités pour le pentesting et les audits tests d'intrusions

Lors de ses projets de création de l'application (applications web ou applications mobile smartphones Android iphone IOS) Consultingit intègre une phase de pentesting (bug bounty comme certains l'appellent). Après les tests unitaires, les tests d'intégration, les tests d'intrusions sont à prendre en comptes. Consultingit fait appel à la célèbre équipe CTF LGHM, (aussi connue sous le nom de l'association loi 1901 à but non lucratif Le Gang des Hackers de Montreuil), cette "RED TEAM" de hackers éthiques (chapeaux blancs CEH) consultants en cybersécurité: pour sécuriser les applications, trouver les failles et les vulnérabilités du programme, avant que le programme passe en production. Cela évite qu'ensuite des hackers mal intentionnés (les black hats, ou chapeaux noirs) trouvent des failles et les exploitent. 

 

Comme nous utilisons beaucoup d'outils différents (comme Acunetix ou ZAP Owasp ) il est interessant d'utiliser aussi le logiciel Nessus pour pentester (effectuer un test d'intrusion) à chaque étape/jalon du projet des applications .Net, PHP, NodeJS avec ses fameuses injections Nosql , ou chacune des release de la roadmap, il est surtout très intéréssant d'utiliser Nessus pour son excellent mode "test des applications web" .

nessus test applications web audit test intrusion

 

 

 

 

 

 

Nessus est un des scanners de vulnérabilités le plus complet du marché. Nessus Professional nous permet d'automatiser le processus d’analyse des vulnérabilités, de gagner du temps dans nos cycles de conformité et nous permet de faire participer toute notre équipe informatique Red Team.

 

Une question? Posez-la ici

pentesting, audits et tests d'intrusions

 

 

Installation du mode "test des applications web" de Nessus

 

En allant sur le site web de Nessus nous pouvons télécharger toutes les versions disponibles: Windows, Linux (Suze, Debian, Ubuntu, Kali...) MacOS , avec la clé GPG. Comme le client nous a mis à disposition des stations de travail Windows, nous installons cette version Windows. (Nous faisons beaucoup de tests de vulnérabilités sur des portails web intranets en interne)

 

WinPcap est automatiquement installé.

Enfin, aprè l'installation, notre navitageur se lance automatique sur https://localhost:8834/WelcomeToNessus-Install/welcome 

nessus test applications web audit test intrusion connect ssl

 

  Pour utiliser ce scanner, un compte doit être créé. Ce compte peut exécuter des commandes sur des cibles distantes et doit être traité comme un utilisateur root.

 

Username: rootuser

Password: Passw0rdf0rt

 

on choisit le mode "professional or manager". Une phase de téléchargement des plugins commence. Si l'on est sur un réseau lent, ou en zone blanche dans le fin fond du Larzac, le téléchargement peut durer jusqu'à 2h.

nessus test applications web audit test intrusion plugins

 

Une fois téléchargés, les plugins sont compilés.

 

L'installation terminée, l'interface nous propose un bouton nouveau scan sur lequel nous allons appuyer

nessus test applications web audit test intrusion new scan

 

 

Une question? Posez-la ici

pentesting, audits et tests d'intrusions

Choisissons le mode "test des applications web" de Nessus (template)

 

nessus test applications web audit test intrusion

Le panneau settings apparait:

nessus test applications web audit test intrusion settings

On sauvegarde et on clique sur "launch"!

Le scan dure un certain temps en fonction du nombre de pages web du site...

L'écran suivant montre que certaines vulnérabilités ont été detectées:

nessus test applications web audit test intrusion vulnerabilites

 

 

Nessus avec le mode "test des applications web" nous rédige un rapport

 

nessus test applications web audit test intrusion rapport

Si l'on choisit HTML, voici un exemple de rapport qui nous est proposé: 

 

>

Nessus Report

Report generated by Nessus™

consultingit.fr

Tue, 30 Oct 2018 10:34:13 Greenwich Standard Time

TABLE OF CONTENTS
Hosts Executive SummaryExpand All | Collapse All
consultingit.fr
     
3
6
5
1
3
Critical
High
Medium
Low
Info
Show Details
© 2018 Tenable™, Inc. All rights reserved.

  

Une question? Posez-la ici

pentesting, audits et tests d'intrusions

Oh lala mais le site consultingit.fr est vulnérable!

En affinant la recherche, nous visualisons les alertes .Après examen des vulnérabilités, nous constatons par exemple que le site web fonctionne avec le coposant PHP 5.3 .  Alors qu’aujourd’hui une majorité de sites internet fonctionnent avec PHP 7. Il s’agit du « moteur » qui permet aux pages web d’être affichées.

nessus test applications web audit test intrusion rapport scan

Nessus "test des applications web" analyse du rapports

Voici un extrait de l'analyse que nous allons présenter en réunion de restitution, il y en a pour chaque audit environ dix fois plus ;-)

 

Le serveur web Apache est en vulnérabilité critique. Il est en version inférieure à la 2.2.15 qui l’expose à des risques.

En effet, comme le mentionne Apache sur son site, “Apache httpd 2.2 is End-of-Life since December 2017 and should not be used”.

http://httpd.apache.org/security/vulnerabilities_22.html

https://archive.apache.org/dist/httpd/CHANGES_2.2.15

Après quelques recherches, le serveur web (le serveur des pages internet, pas les pages en elles-même) est vulnérable entre autre à ces attaques :

Uninitialized memory reflection in mod_auth_digest (CVE-2017-9788)

ap_get_basic_auth_pw() Authentication Bypass (CVE-2017-3167)

mod_ssl Null Pointer Dereference (CVE-2017-3169)

ap_find_token() Buffer Overread (CVE-2017-7668)

mod_mime Buffer Overread (CVE-2017-7679)

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0434

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0425

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0408

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555

http://secunia.com/advisories/38776

http://www.securityfocus.com/bid/21865

http://cwe.mitre.org/data/definitions/200

 

La function “Customized reports” de Nessus permet de créer des reports en y insérant le logo (exemple logo de LGHM)

Export : on peut exporter le rapport en « .nessus » ou en « .html »

Pratique pour présenter les résultats au client lors de la réunion de restitution.

Avec cet outil, le pentester est capable de proposer des solutions rapide comme par exemple:

-mettre à jour Apache en version 2.2.15 ou supérieure maintenue

-désactiver les modules qui ne sont pas utilisés (mod_status)

-mettre à jour la version d’OpenSSL 0.9.8 vers une version maintenue

-mettre à jour PHP version 5.3.7 vers une version supérieure maintenue

-basculer la valeur « expose_php » à « off » dans le php.ini

-mettre un mot de passe au composant PHPMyadmin

-configurer le serveur web pour restreindre l’accès au repertoire « svn »

-enlever printenv du répertoire /cgi-bin

Etc…

Là il est question de vulnérabilités sur l’infrastructure, pas sur les pages webs en elles-même. Ces vulnérabilités seront corrigées par les développeurs PHP qui les considèreront comme des bugs dans leur outil de versionning. 

 

Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus