Acunetix pour le pentest les audits de sites web et test d'intrusions

Lors de ses projets de création de l'application (applications web ou applications mobile smartphones Android iphone IOS) Consultingit intègre une phase de pentesting (bug bounty comme certains l'appellent). Après les tests unitaires, les tests d'intégration, les tests d'intrusions sont à prendre en comptes. Consultingit fait appel à la célèbre équipe CTF LGHM, (aussi connue sous le nom de l'association loi 1901 à but non lucratif Le Gang des Hackers de Montreuil), cette "RED TEAM" de hackers éthiques (chapeaux blancs) consultants en cybersécurité: pour sécuriser les applications, trouver les failles et les vulnérabilités du programme, avant que le programme passe en production. Cela évite qu'ensuite des hackers mal intentionnés (les black hats, ou chapeaux noirs) trouvent des failles et les exploitent. 

 

Outre l'interêt d'utiliser des logiciel de pentesting (comme Nessus, Owasp ZAP, pour pentester "débrouissailler" ou effectuer un test d'intrusion global, à chaque étape/jalon du projet de l'application .Net, PHP, NodeJS avec ses fameuses injections Nosql , ou chacune des release de la roadmap. Il est intéréssant d'utiliser Acunetix pour générer des rapports fonctionnels. En effet, à chaque test, le client nous demande un rapport. Et certains demandent des rapports spécifiques orientés métier, ou normes, comme CWE 2011, HIPAA, ISO 27001/ IEC 27000, NIST 800-53, OWASP, PCI DSS, Sarbanes Oxley, STIG, DISA, WASC...

 

 

 

Une question? Posez-la ici

pentesting, audits et tests d'intrusions

 

 

Acunetix audite d'abord le serveur web, et fait des tests d'intrusions sur le réseau hébergeant le site

 

 Dans le cadre d'un audit de site Web, Acunetix exécute un audit de sécurité du serveur sur le réseau hébergement du site. Cette analyse de sécurité du réseau identifie tous les services exécutés sur le serveur. Le serveur est analysé en exécutant une analyse de port sur le système. Ce processus identifie également les virus, chevaux de Troie, qui pourraient se cacher sur le serveur, si les règles de sécurité informatique en entreprise n'ont pas été respectées.

 

L’analyse de la vulnérabilité du réseau évalue la sécurité des protocoles populaires tels que FTP, DNS, SMTP, IMAP, POP3, SSH, SNMP et Telnet. Acunetix recherchera également toute mauvaise configuration dans les services détectés qui pourrait conduire à diminuer la sécurité. Acunetix vérifiera également que tous les autres serveurs s'exécutant sur la machine n'utilisent aucun protocole obsolète. Un manque de sécurité à ce niveau là peut rendre le système peu sûr, ce qui permettrait à un intrus de nuire au site Web et à la réputation de l'entreprise.

 

La version en ligne d’Acunetix intègre également le très populaire scanner de réseau OpenVAS qui vérifie plus de 35 000 vulnérabilités réseau. Lors d’une analyse du réseau, Acunetix utilise diverses techniques de détection des ports et de prise d'empreinte de système d'exploitation pour identifier un grand nombre de périphériques, Systèmes d'exploitation et produits serveur. De nombreux contrôles de sécurité sont ensuite lancés sur le serveur analysé, ce qui vous permet de détecter tous les vulnérabilités existant sur les serveurs lors du test d'intrusion sur le périmètre défini. 

 

Le Projet de scan Web lance un audit de sécurité automatique dun site Web. Une sécurité de site web L’analyse comprend généralement deux phases:

Une phase Navigation sur le site (crawling)

En utilisant son module Acunetix DeepScan, Acunetix effectue un test d'intrusion automatiquement du site Web afin de construire la structure du site. Le processus d'exploration

énumère tous les fichiers et est essentiel pour garantir que tous les fichiers du site Web sont scannés.

 

Une phase d'analyse des vulnérabilités

Acunetix lance une série de contrôles de vulnérabilité Web pour chaque fichier inclu dans l'application Web et en fait, il émule un pirate informatique, en se comportant comme un hacker expérimenté qui testerait le site en long en large et en travers, grace à tous ses outils et scripts, comme le font les membres LGHM. Attention, ici on parle de travail de "white hat" ou hacker étique. Les résultats d'une analyse incluent les détails complets de toutes les vulnérabilités trouvées sur le site.

 

L'acusensor Acunétix s'intègre au code .NET ou PHP via FTP

 

Nous avons besoin de Microsoft .NET Framework 3.5 ou supérieur pour que l'agent AcuSensorInstaller.exe s'installe. Au démarrage, Acunetix .NET AcuSensor Manager récupère la liste des  apps .NET installées sur le serveur web IIS à auditer par exemple. On sélectionnez jsute les applications pour lesquelles on désire faire le test d'intrusion. Pour les sites en PHP, il faut modifier le fichier .htaccess ou le php.ini pour y inejcter le code d'audit. 

 

Tests d'intrusions sur les web services, audit get et post

 

Le crawler et le scanner peuvent rencontrer de petits soucis à scanner les parties protégées du site avec un login/password. Le LSR prend en charge les restrictions sur les méthodes HTTP couramment utilisées dans les services Web RESTful tels que PATCH, PUT, DELETE, en plus des requêtes standard GET et POST cela permet de les sécuriser.

 

Une question? Posez-la ici

pentesting, audits et tests d'intrusions

Lancement des scans d'Acunetix: tests d'intrusions intensifs

REMARQUE: NE PAS SCANNER UN SITE WEB SANS AUTORISATION APPROPRIÉE! 

 

Les journaux du serveur Web afficheront vos informations d'identification et toutes les attaques lancées par Acunetix.On n'est pas les seuls à utiliser le site Web ou l'application Web Angular ou Angular 6 par exemple, il faut s'assurer d'avertir les utilisateurs avant d’effectuer une analyse, car certaines analyses peuvent provoquer la défaillance d’un site Web nécessitant un redémarrage du site. Après avoir configuré les pages ciblées, et les pages critiques exclues de l'audit, on est prêt à lancer des analyses et à commencer à identifier les vulnérabilités présentes dans les applications Web.

On peut lancer plusieurs types de scan:

Analyse complète

Pour lancer une analyse à l'aide de toutes les vérifications disponibles.

Vulnérabilités liées au risque élevé 

Le profil d’analyse Risques élevés ne vérifie que les vulnérabilités Web les plus dangereuses.

Script inter-site (XSS)

le profil d’analyse XSS ne recherchera que les vulnérabilités de Cross-Site Scripting.

Injection SQL 

Le profil d'analyse de l'injection SQL ne vérifie que l'injection SQL

Mots de passe faibles

Le profil d'analyse du mot de passe identifiant les formulaires

renseigner le mode d'interrogation d'un formulaires, avec un nom d'utilisateur et mot de passe et on va simuler une attaque sur ces formulaires.

Analyser uniquement

L'analyse uniquement analyse ne portera que sur le site et la structure du site web sans exécuter aucun contrôle de vulnérabilité.

 

Target / Select a new target

Je selectionne le site à tester 

Business criticality: low

Pas grave si le blog est perturbé par des scans intempesitfs, par contre je l’ai mis en High sur le site de mon client (Critical-High-normal-low)

Je télécharge le code acusensor « acu_phpaspect.php » et l’intègre au site à auditer
Je l’upload en FTP sur le site du client à auditer
Une doc très claire se trouve ici
https://www.acunetix.com/support/docs/installing-acusensor-php/
Il faut modifier le .htaccess d’Apache pour qu’il prenne en compte le acu_phpaspect.php
Ajouter dans le .htaccess :
auto_prepend_file="/path/to/acu_phpaspect.php"

 

Exemple de résultats de scans Acunetix

 

 4 niveaux d'alertes:

rouge= vulnérabilité critique

orange=vulnérabilité dangereuse

bleue= vulnérabilité mineure

verte= information

 

 

On peut choisir le type de scan en fonction du temps que l’on a. On aurait pu choisir uniquement les High risk vulnerabilities (vulnérabilités critiques),  le cross-site scripting vulnerabilities (XSS), l’injection SQL ave SQL injection vulnerabilities, mais on va selectionner Full scan. Le temps d’execution du full scan dépend de la taille du site, du nombre de pages. En fonction de mes audits pentesting de tests d’intrusions, certains ont duré 4h, d’autres 8h.

Une fois le scan terminé : activity : completed 100%!

Ici, il n’y a que 3 alertes mineures, car le site est perpetuellement testé : a chaque phase de développement, un audit de test d’intrusion est fait, ce qui permet de connaitre quel code a introduit telle ou telle vulnérabilité, et de corriger. C’est le développement SBD Security By Design, pour ne pas se retrouver en fin de projet avec des centaines de failles et tout le programme à reprendre.

 

 

Acunetix exporte les résultats d'analyse vers des fichiers WAF

 

Quand nous rencontres une vulnérabilité critique sur une application Web, c'est une première étape. Idéalement ces les vulnérabilités sont corrigées dès que possible, mais l'expérience montre que ça n'est as toujours toujours le cas. Une scan Acunetix peut être exporté dans un format pris en charge par les logiciels pare-feu d'applications (WAF) Web les plus populaires. Ca c'est une des fonctionnalités les plus intéréssantes. L'autre jour j'étais chez Blablacar. Pour être conforme à la loi, une mise à jour a du être faite très vite sur le site web. Malheureusement, une vulnérabilité critique a été detectée suite à cette mise à jour du code. Impossible de patcher la nouvelle fonctionnalité avant 15 jours car le workflow de l'équipe de dev est plein. Heureusement qu'il y a un WAF! Web application firewall qui protège l'application. On va donc créer une règle pour l'administrateur WAF pour qu'il corrige la vulnérabilité très rapidement. C'est là qu'Acunetix est intéréssant car il crée AUTOMATIQUEMENT des règles pour les WAF le splus répandus comme:

● F5 Big-IP (ASM)

● Imperva SecureSphere WAF

● Fortinet Fortiweb

● exportation XML générique

 

 

 

 

 

  

Une question? Posez-la ici

pentesting, audits et tests d'intrusions

Rapports de pentesting audit de tests d'intrusions avec Acunetix

La page Rapports permet de générer 3 types de rapports

● Rapport Toutes les vulnérabilités - Rapport sur toutes les vulnérabilités détectées sur tous les sites webs configurées dans Acunetix

● Rapport d'analyse - Rapport sur les vulnérabilités détectées par une ou plusieurs analyses. Quand 2 analyses pour le même site web sont sélectionnées, on a la possibilité de comparer les analyse lors de la génération du rapport (en sélectionnant le modèle rapport Comparaison analyse)

● Rapport sur les cibles - Rapport sur toutes les vulnérabilités détectées sur un ou plusieurs sites internet. en tenant compte de toutes les analyses effectuées sur le ou les sites webs.

Les rapports peuvent également être générés directement à partir de la page sites web, de la page Vulnerabilities ou de la page Scans

Rapport de développeur

 

Le rapport de développeur est destiné aux développeurs qui doivent travailler sur le site Web afin de corriger les vulnérabilités découvertes par Acunetix. Le rapport fournit des informations sur les fichiers dont le temps de réponse est long, liste de liens externes, adresses e-mail, scripts clients et des hôtes externes, ainsi que des exemples de mesures correctives et des recommandations de meilleures pratiques pour corriger les vulnérabilités.

 

Rapport CWE / SANS CWE 2011

- Les 25 erreurs logicielles les plus dangereuses

Ce rapport présente une liste des vulnérabilités détectées sur le site Web. répertorié dans le top 25 des erreurs de logiciel les plus dangereuses de CWE / SANS. Ces erreurs sont souvent

faciles à trouver et à exploiter. Ces vulnérabilités sont dangereuses car elles permettent souvent aux attaquants sur le site Web de voler des données. Plus d'informations peuvent être trouvées sur http://cwe.mitre.org/top25/

 

Rapport HIPAA

Loi sur la transférabilité et la responsabilité en matière d’assurance maladie (HIPAA) Une partie de la loi HIPAA définit les politiques, procédures et directives pour le maintien de la confidentialité et sécurité des informations de santé identifiables individuellement. Ce rapport identifie le vulnérabilités qui pourraient enfreindre ces politiques. Les vulnérabilités sont regroupées par le articles définis dans la loi HIPAA.

 

Rapport pour norme internationale - ISO 27001

ISO 27001, qui fait partie de la famille de normes ISO / IEC 27000, spécifie formellement un système de gestion destiné à placer la sécurité de l’information sous une responsabilité explicite:

"contrôle de gestion". Ce rapport identifie les vulnérabilités susceptibles de constituer une violation des standard et regroupe les vulnérabilités selon les sections définies dans le standard.

 

Rapport de publication spéciale NIST 800-53

La publication spéciale NIST 800-53 couvre les contrôles de sécurité recommandés pour le gouvernement fédéral, ses systèmes d'information et organisations. Encore une fois, les vulnérabilités identifiées lors d’un scan sont regroupées par catégories définies dans cette publication spécifique.

 

Rapport OWASP Top10 2013

Le projet de sécurité des applications Web ouvertes (OWASP) est un projet de sécurité Web dirigé par un communauté internationale d'entreprises, des établissements d’enseignement et des chercheurs en sécurité. OWASP est réputé pour son travail en matière de sécurité Web, notamment à travers sa liste des 10 vulnérabilités Web les plus fdangereuses. Ce rapport indique les vulnérabilités détectées trouvées sur les 10 principales vulnérabilités de l'OWASP.

 

Rapport avec les normes de l'industrie des cartes de paiement (PCI)

La norme de sécurité des données du secteur des cartes de paiement (PCI DSS 3.2) est un standard, qui s’applique aux organisations qui gèrent les informations des détenteurs de cartes de crédit. Ce Le rapport identifie les vulnérabilités susceptibles de violer des parties de la norme et regroupe les vulnérabilités par l'exigence qui a été violée.

 

Rapport orienté loi Sarbanes Oxley

La loi Sarbanes Oxley a été adoptée pour prévenir les activités financières frauduleuses des entreprises et le blanchiement du top management. Dans ce rapport y figurent les vulnérabilités détectées lors d’un scan qui peuvent entraîner une violation de certains articles de la loi.

 

Rapport spécifique DISA STIG Web Security

Le Guide technique d'implémentation de la sécurité (STIG) est un guide de configuration pour logiciels et matériels définis par la Defense Information System Agency (DISA), qui une partie du ministère de la Défense des États-Unis. Ce rapport identifie les vulnérabilités qui peuvent violer des sections du STIG.

 

Rapport aux norme des classification des menaces du Web Application Security Consortium (WASC)

Le WASC (Web Application Security Consortium) est une organisation à but non lucratif composée d'un groupe international d'experts en sécurité, qui a créé un système de classification des menaces pour les vulnérabilités Web. Ce rapport regroupe les vulnérabilités identifiées sur votre site à l'aide du Système de classification des menaces WASC.

 

On peut alors télécharger ces rapports en PDF, les imprimer, et les donner aux différents protagonistes lors de la réunion de restitution.

CWE 2011.pdf

HIPAA.pdf

ISO 27001.pdf

NIST SP800 53.pdf

OWASP Top 10 2013.pdf

PCI DSS 3.2.pdf

Sarbanes Oxley.pdf

STIG DISA.pdf

WASC Threat Classification.pdf

Les rapports sont très propres. En fonction des vulnérabilités trouvés, les erreurs apparaissent soit en vert, soit en rouge, selon l’importance. Par exemple, certaines vulnérabilités apparaissent en rouge sur les rapports HIPAA , alors qu’elles apparaissent en vert sur les rapports Sarbanes Oxley . On comprend que les normes « santé » sont plus rigoureuses que les normes « finances ».

Pendant cette réunion de restitution, le pentester (ou auditeur sécurité) doit expliquer quelles sont les vulmnérabilités qui ont été trouvées, leur gravité, et comment y rémédier.

Le site est par exemple vulnérable au clickjacking. Un lien explique la vulnérabilité qui permet d’illustrer le rapport:

https://www.owasp.org/index.php/Clickjacking

Le détournement de clic (attaque d'interface utilisateur, attaque d'interface utilisateur, réparation d'interface utilisateur) est une technique malveillante consistant à amener un internaute à cliquer sur un élément différent de ce qu'il perçoit comme étant en train de cliquer, révélant ainsi potentiellement des informations confidentielles ou la prise de contrôle de son ordinateur. en cliquant sur des pages Web apparemment inoffensives.

Le serveur n'a pas renvoyé d'en-tête X-Frame-Options, ce qui signifie que ce site Web risque de faire l'objet d'une attaque de détournement de clic. L'en-tête de réponse HTTP X-Frame-Options peut être utilisé pour indiquer si un navigateur doit ou non autoriser le rendu d'une page dans un cadre ou dans un iframe. Les sites peuvent l'utiliser pour éviter les attaques de détournement de clic en s'assurant que leur contenu n'est pas intégré à d'autres sites.

Classification de la vulnérabilité :

https://cwe.mitre.org/data/definitions/693.html

Une des solutions pour éviter ce clickjacking consisterait à mettre un filtre:

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

Ou mettre la X-Frame-Options: deny

http://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

 

Envoi de vulnérabilités à un outil de suivi des correctifs GitHub, Jira et Microsoft TFS

La fonctionnalité que les devops/scrum masters adorent! Pour un développeur, les vulnérabilités sont considérées comme des bogues dans l'application Web. Acunetix fournit des moyens d'envoyer les vulnérabilités au système de suivi des problèmes utilisé par l'organisation, permettant un meilleur suivi des vulnérabilités par l'équipe de développement.

On attribue un ticket Issue Tracker au site internet . On peut alors envoyer les vulnérabilités détectées pour tel site web spécifique au gestionnaire de correctifs . Acunetix prend en charge les systèmes de suivi des problèmes GitHub, Jira et Microsoft TFS

 

Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus