Objet du rapport / réunion - inetdoc.net
Objet du rapport / réunion - inetdoc.net
Objet du rapport / réunion - inetdoc.net
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
IUP STRI – M2 2007<br />
Projet Sécurité – Equipe attaque G1<br />
Pour ceci, voici un petit script appelant le script test.php en boucle:<br />
#! /bin/bash<br />
#Ouvre une chiée de connexions a la BD<br />
i=0<br />
while [ $i -eq 0 ]<br />
do<br />
wget -N http://172.17.0.2/test.php<br />
done<br />
Résultats:<br />
Au moment de l’attaque, on s’est ren<strong>du</strong> compte que le script test.php avait été supprimé.<br />
En effet, en observant les connexions et les statistiques de leur site web, l’équipe<br />
« Défense » s’est ren<strong>du</strong> compte que la page test.php avait été très sollicitée (notamment<br />
pendant nos tests avant l’attaque).<br />
Ceci les a emmené à retirer la page test.php, et à la remplacer par:<br />
L’attaque n’a donc pas pu avoir lieu.<br />
Préconisations :<br />
Tout d’abord, la «Défense» a vu l’initiative après la découverte de la page test.php oubliée<br />
sur le serveur. Il en découle deux préconisations :<br />
Eviter de laisser des pages de test ou de développement sur le serveur, qui<br />
contiennent souvent beaucoup d’informations<br />
Détecter les scripts qui visent à découvrir l’arborescence <strong>du</strong> serveur web. Si les logs<br />
sont capables de détecter les requêtes qui aboutissent au code d’erreur 400 par<br />
exemple, le serveur web devrait être capable de bloquer les requêtes venant d’une<br />
adresse IP qui a déjà généré un nombre élevé de codes 400. On peut utiliser le<br />
mo<strong>du</strong>le « modsecurity » pour Apache pour faciliter la détection de ce genre d'activité.<br />
. Copyright (c) 2007 – GNU Free Documentation licence Équipe Attaque G1 – M2 STRI 24