Hacking et sécurité des applications web

Objectifs

• Adopter les bonnes pratiques de développement sécurisé pour prévenir les failles
• Apprendre à **détecter des vulnérabilités** en inspectant le code et/ou en observant le comportement d'une application Web
• Découvrir, configurer et utiliser des **outils** (Burp Suite, DevTools du navigateur, etc.) permettant d'**analyser** efficacement vos applications

Description

Jour 1 : rappels, exposition d'informations sensibles, validation insuffisante des entrées utilisateur·rice - **Préambule**

• Objectifs et modalités de la formation
• Profils et motivations des adversaires
• Outils pratiques pour la sécurité Web
• Description de la criticité grâce au *Common Vulnerability Scoring System* (CVSS)
• Rappels sur les DevTools du navigateur -

Rappels autour du HTTP

• - Le protocole central du Web
• Anatomie d'une requête et réponse
• HTTPS, certificats, et autorités de certification
• Les cookies
• HTTP : un protocole non-chiffré
• Attaque par interception (MitM)
• L'attribut de cookie `Secure`
• Falsification de cookie depuis une origine `http`
• Le préfixe de nom de cookie `

Secure-` - HTTP Strict Transport Security (HSTS) -

• Présentation de Burp Suite

- Le proxy d'interception - L'historique HTTP - Intercepter des requêtes avec l'outil *Intercept* - Rejouer des requêtes avec l'outil *Repeater* - Automatiser une attaque de force brute avec l'outil *Intruder* - Encoder/décoder des donnés avec les outils *Decoder* et *CyberChef* -

• Présentation de l'OWASP Juice Shop

- Une application Web volontairement vulnérable - Des challenges nombreux et variés mais inégaux - Réglages de Burp Suite pour confortablement attaquer le Juice Shop -

• Exposition d'informations sensibles

- Informations sensibles présentes côté client - Fichiers cachés mais accessibles sur le serveur - Endpoints sensibles accessibles - Identifiants numériques séquentiels - Messages d'erreurs trop verbeux - Journalisation inadéquate de données sensibles - *Google dorks* - Le service Shodan - *Directory listing* - Exposition excessive de données par les APIs - Dépôts publics de développeurs·euses - Historique Git d'un projet open source contenant des secrets - Dossier `.git` accessible publiquement en ligne -

• Validation insuffisante des entrées utilisateur·rice

- Pourquoi la méfiance reste de mise - Validation côté client ou côté serveur ? - Traitement des URLs - Redirections ouvertes - Validation insuffisante lors du téléchargement de fichiers - Traversée de répertoires

• *Mises en pratique :

* - *Expériences avec l'attribut de cookie `Secure` au sein du navigateur* - *Familiarisation avec chacun des outils listés* - *Création d'une instance par participant·e* - *Tour d'horizon de l'application Web* - *Résolution de nombreux challenges pertinents sur le Juice Shop* - *Reconnaissance à l'aide de Google dorks* - *Découverte de l'outil Shodan* - *Déductions intéressantes...

Liste des sessions