Les failles OWASP
Catégorie : Sécurité informatique Publié le 03/11/2020

Bien que nous soyons en 2020, et que la sécurité informatique a pas mal évolué depuis, il existe néanmoins encore pas mal de sites Internet, parfois de grandes entreprises, qui contiennent encore des failles, faisant révélées l'OWASP (Open Web Application Security Project). Ces failles peuvent être fatales pour les sites et applications concernés, et par les sociétés qui en sont propriétaire.

Nous allons faire un tour des 10 vulnérabilités les plus répandues, qui malgré les avertissements répétés des experts en sécurité informatique, sont encore présente sur certaines applications aujourd'hui.

1- CROSS SITE SCRIPTING (XSS)

Cette faille de sécurité redoutable donne la possibilité à des cybercriminels d'injecter des scripts (souvent du JS) sur les applications afin de piéger les utilisateurs. Il existe exactement 2 types de failles XSS : Reflected XSS et Stored XSS.

Grâce à cette faille, il est donc possible de :

  • Faire des redirections dans le but de faire du phishing
  • Voler des informations (cookies, sessions, données personnelles, etc.)
  • Faire des actions sur le site vulnérable à l'insu de la victime (modification ou destruction de page par exemple)

1.1 - Reflected XSS (non persistante)

On dit qu'une faille XSS est non persistante si celle-ci n'est pas stockée dans un fichier ou dans une base de données. Autrement dit, le script malveillant n'est stocké sur le serveur Web de la victime; il est transmis à tel ou tel utilisateur via une URL qui le contient (via le courrier électronique par exemple).

Une bonne partie des navigateurs Internet aujourd'hui ont intégré un filtre anti-XSS (Chrome, Firefox, Edge, etc.); ce filtre analyse le rendu d'une page envoyée par le serveur et supprimer toute occurence de JS qui serait présente dans la requête du client.

1.2 - Stored XSS (persistante)

Il s'agit de la faille XSS la plus dangereuse ! En effet, on dit qu'un faille XSS est persistante si le programme malveillant est stockée en base, ou sur le serveur; dans ce cas, les conséquences peuvent être terribles ! Par exemple, si un forum de discussion n'est pas sécurisé, et qu'il est possible d'injecter du script JS dans le message qu'on s'apprête à envoyer, le rendu de celui-ci déclenchera le script lorsque tout individu se rendre sur la page où ce script se trouve.

Autrement dit, si un pirate a injecté du script JS que l'application elle-même ne filtre pas, tous les utilisateurs se rendant sur le site piraté pourront être piégé, parfois même à leur insu.

2- INJECTIONS SQL

C'est la faille qui ne date pas d'hier, et qui pourtant reste encore présente aujourd'hui sur certains sites Internet (parfois vieux qui n'ont pas été mis à jour). Comme son nom l'indique, cette faille permet l'injection de code SQL, autrement dit, de code permettant d'effectuer des requête pour modifier des éléments dans la base de données de l'application. Le principe est d'injecteur un code SQL malveillant dans un champ de formulaire non protégé, ce qui lors de l'interprétation de la requête, déclenchera une modification, voir une destruction de données dans la base.

Les pirates utilisent souvent cette méthode pour contourner les systèmes d'authentification et d'autorisation d'une application Web. Grâce à cette faille, le hacker peut égalemen avoir accès à de très nombreuses données sensibles, comme des données propres à l'entreprise, des codes d'accès si ceux-là sont déchiffrables, des adresses mails (très recherchées par les pirates), etc.

3- FILE DISCOVER (FD)

Les fichiers visés sont souvent des fichiers servant à la configuration de l'applications; fichiers dans lesquels se trouvent donc des informations stratégiques pour le bon fonctionnement du site Web. Le pirate peut avoir accès à ce type de fichiers si le serveur n'est pas correctement configuré, ou si les droits ne sont pas correctement intialisés (ce qui arrive souvent malheureusement).

Par exemple, si l'accès aux index n'a pas été bloqué, le hacker pourra facilement accèder aux fichiers sensibles !

4- TRANSVERSAL DIRECTORY (TRV)

Ce genre de faille peut permettre aux hackers d'explorer récurvivement les fichiers et répertoire d'un serveur distant. Si les entrées utilisateurs d'un serveur Web sont mal contrôlées, celui-ci est alors vulnérable face à ce type d'attaque.

Grâce à cette attaque, le pirate peut alors avoir accès à des documents confidentiels, des fichiers de configuration dont il pourra se servir pour exécuter à l'avenir des codes malicieux, etc.
L'exposition des fichiers confidentiel pourra permettre au pirate de les lire et même de les revendre à prix d'or à d'autres personnes malveillantes.

Par exemple, vous afficher via votre navigateur une image que vous trouvez sur Internet. Cette image est accessible grâce à une URL spécifique; si vous remonter le chemin avec plusieurs chaînes du type "/", et que vous tombez sur une sorte de liste de fichier, alors cela veut que le serveur est tout sauf sécurisé !

5- CLICK-JACKING

Ce genre de faille est utilisé afin qu'un arnaqueur en ligne crée une interface Web en trompe-l'oeil et dérobe les clics effectués sur le site contrefait; son objectif est de piéger les utilisateurs en leur faisant croire qu'ils sont sur un site légitime, et de faire en sorte qu'ils soumettent  leurs identifiants et mots de passe, le tout en pensant que tout est ok, alors que c'est loin d'être le cas.

En fait, le clic a été détourné et utilisé pour confirme une autre action sur un site différent; de la même manière, ce qui a été tapé au clavier a été détourné pour récupérer les mots de passe et se connecter donc à des comptes à l'insu des victimes.