* Top Ten Web Hacking Techniques of 2009 (Official)

– Date : 05 Mars 2010

– Gravité : Moyenne

– Description :
Dans le cadre de la présentation intitulée "2010 : A Web Hacking Odyssey" qu’a réalisé Jeremiah Grossman lors de la "RSA Conference" le 3 mars dernier, celui-ci a établi le "top 10" des attaques web de l’année. Afin d’établir ce classement, le chercheur a contacté un nombre important de spécialistes du domaine. Le résultat est plus qu’impressionnant. L’équipe a ainsi pu énumérer pas moins de 82 attaques différentes. Parmi celles-ci, les attaques suivantes sont à retenir :

10. DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation) ;

9. RFC1918 Caching Security Issues ;

8. Our Favorite XSS Filters and how to Attack them ;

7. Exploiting unexploitable XSS ;

6. Microsoft IIS 0-Day Vulnerability Parsing Files (semi-colon bug) ;

5. Slowloris HTTP DoS ;

4. Cross-domain search timing ;

3. Flickr’s API Signature Forgery Vulnerability (MD5 extension attack) ;

2. HTTP Parameter Pollution (HPP) ;

1. Creating a rogue CA certificate ;

Ryan Barnett, l’un des chercheurs contactés par Jeremiah Grossman qui est un spécialiste des WAF (Web Application Firewall) a réagi à cette présentation en publiant un billet présentant des solutions permettant de se protéger de 5 de ces attaques. Il propose ainsi des solutions pour les attaques suivantes :

* HTTP Parameter Pollution (HPP) ;

* Slowloris HTTP DoS ;

* Microsoft IIS 0-Day Vulnerability Parsing Files (semi-colon bug) ;

* Exploiting unexploitable XSS ;

* Our Favorite XSS Filters and how to Attack them ;

– Référence :

http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

http://tacticalwebappsec.blogspot.com/2010/03/top-10-hacks-of-2009-and-waf.html

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1267814918