Résumé
Lors de notre présentation au SSTIC en juin, nous avons démontré qu'il était possible d'injecter une porte dérobée à une application JavaEE, par la simple présence d'une archive JAR. Nous avons baptisé ces attaques « Macaron ». Une démonstration est disponible en ligne, sur le site du projet : http://macaron.googlecode.com.Le numéro 45 de MISC décrit les techniques d'attaques utilisées. Cet article décrit les outils proposés pour apporter des solutions contre ces menaces. Pour résumer, il existe différentes techniques de pièges, permettant d'exécuter du code sans que l'application ne le demande explicitement. Une fois un piège déclenché, il existe plusieurs approches pour s'injecter dans le flux de traitement de chaque requête HTTP. Il est alors possible d'analyser chaque requête HTTP pour identifier une valeur particulière dans la valeur d'un paramètre. Cela permet d'ouvrir la porte dérobée et donne accès au serveur. La démonstration propose différents agents, dont un agent permettant d'exécuter un shell sur le serveur, contrôlé par le navigateur. La communication entre le navigateur et la porte dérobée est quasi indiscernable d'un flux légitime de l'application.
1. Les solutions
Java possède un mode sécurisé limitant fortement les possibilités de la porte dérobée. Correctement utilisée, cette sécurité empêche l'installation d'une porte dérobée en tant que filtre pour capturer tout le trafic applicatif.
Lorsque la sécurité Java2 est activée, les API disponibles sont limitées. Les classes du serveur d'applications ont tous les privilèges, mais pas celles des applications hébergées. Dans ce mode, les projets doivent souvent ajouter ponctuellement des privilèges pour leurs projets (accès à certains répertoires, certaines machines du réseau, etc.).
L'exemple suivant donne le droit de créer un chargeur de classes à l'ensemble des archives présentes dans le répertoire WEB‑INF/lib du projet MonProjet.
grant codeBase "file:${catalina.base}/webapps…
Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
Je m'abonne