CERT-XMCO : Top 10 des attaques web, et proposition de solutions pour s’en prémunir
mars 2010 par CERT-XMCO
* Top Ten Web Hacking Techniques of 2009 (Official)
– Date : 05 Mars 2010
– Gravité : Moyenne
– Description :
Dans le cadre de la présentation intitulée "2010 : A Web Hacking Odyssey" qu’a réalisé Jeremiah Grossman lors de la "RSA Conference" le 3 mars dernier, celui-ci a établi le "top 10" des attaques web de l’année. Afin d’établir ce classement, le chercheur a contacté un nombre important de spécialistes du domaine. Le résultat est plus qu’impressionnant. L’équipe a ainsi pu énumérer pas moins de 82 attaques différentes. Parmi celles-ci, les attaques suivantes sont à retenir :
10. DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation) ;
9. RFC1918 Caching Security Issues ;
8. Our Favorite XSS Filters and how to Attack them ;
7. Exploiting unexploitable XSS ;
6. Microsoft IIS 0-Day Vulnerability Parsing Files (semi-colon bug) ;
5. Slowloris HTTP DoS ;
4. Cross-domain search timing ;
3. Flickr’s API Signature Forgery Vulnerability (MD5 extension attack) ;
2. HTTP Parameter Pollution (HPP) ;
1. Creating a rogue CA certificate ;
Ryan Barnett, l’un des chercheurs contactés par Jeremiah Grossman qui est un spécialiste des WAF (Web Application Firewall) a réagi à cette présentation en publiant un billet présentant des solutions permettant de se protéger de 5 de ces attaques. Il propose ainsi des solutions pour les attaques suivantes :
* HTTP Parameter Pollution (HPP) ;
* Slowloris HTTP DoS ;
* Microsoft IIS 0-Day Vulnerability Parsing Files (semi-colon bug) ;
* Exploiting unexploitable XSS ;
* Our Favorite XSS Filters and how to Attack them ;
– Référence :
http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html
http://tacticalwebappsec.blogspot.com/2010/03/top-10-hacks-of-2009-and-waf.html
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1267814918