JSF : ViewState dans tous ses états

Magazine
Marque
MISC
Numéro
69
|
Mois de parution
septembre 2013
|
Domaines


Résumé
Les implémentations JSF sont courantes dans les applications J2EE. Les JSF utilisent les ViewState, déjà connus pour les attaques cryptographiques liées à l'utilisation d'un oracle [PADDING] ou pour réaliser des attaques côté client de type Cross-Site Scripting [XSS]. Nous allons voir qu'en réalité, ceux-ci peuvent aussi être utilisés pour mettre à mal la sécurité d'une application côté serveur.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Tomoyo, le contrôle d’accès facile

Magazine
Marque
GNU/Linux Magazine
Numéro
235
|
Mois de parution
mars 2020
|
Domaines
Résumé

Par un contrôle fin des accès aux fichiers, les logiciels de type Mandatory Access Control (MAC) permettent de lutter efficacement contre le piratage et le vol de données. Tomoyo-linux propose une alternative simple d’utilisation à SELinux.

KeeRest : mettez du DevOps dans votre KeePass

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

Nous avions vu dans MISC n°103 comment déployer une base KeePass en mode SaaS ciblant les particuliers ou de petits périmètres professionnels. Dans un autre monde, les pratiques DevOps se démocratisent et demandent d’augmenter l’agilité des développements tout en réduisant les délais de mise en production. Cet article est le fruit d’une collaboration entre un DevOps et un ingénieur SSI pour voir de quelle manière il est possible de tirer profit de KeePass dans ces environnements.

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Antivirus Avira (CVE-2019-18568) : quand l'authentification d'un PE mène à une LPE

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

En juillet 2019, je me suis penché sur la sécurité d'un antivirus grand public, connu sous le nom de « Avira ». Lors de cette analyse, j'ai identifié, dans le driver en charge d'authentifier un programme exécutable, une vulnérabilité menant à une élévation de privilèges. Après une brève présentation du composant noyau, nous étudierons en détail la vulnérabilité et préparerons les éléments nécessaires à la réussite d'une exploitation.

Analyse UEFI avec Windbg

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

La dernière étape dans la mise en place d’un environnement de travail complet en UEFI va être l’installation d’un debugger. Celui-ci va permettre de, non seulement faciliter le développement au sein du micrologiciel, mais aussi de comprendre dynamiquement le code source. Dès lors, il sera possible de mieux appréhender ce code afin de l’éditer et créer son propre UEFI.

Par le même auteur

CVE-2015-6409 : Downgrade STARTTLS appliqué au client Cisco Jabber

Magazine
Marque
MISC
Numéro
84
|
Mois de parution
mars 2016
|
Domaines
Résumé
La fin de l'année 2015 a été plutôt mouvementée pour Cisco. La société a publié pas moins d'une centaine d'avis de sécurité dans le courant du mois de décembre. Je vous épargne la description de chacun d'entre eux et m'attarderai plus particulièrement sur celui affectant le client Cisco Jabber de la version 9 à la version 11.1. Nous avons signalé la vulnérabilité associée à Cisco le 4 août 2015. Elle a été rendue publique sous l'identifiant CVE-2015-6409 le 24 décembre au soir à 18h30, juste avant l'ouverture du champagne et le début d'un marathon sans fin de toasts de foie gras [1].

Découverte, exploitation et fiabilisation d'une vulnérabilité XXE dans le module Services de Drupal

Magazine
Marque
MISC
Numéro
80
|
Mois de parution
juillet 2015
|
Domaines
Résumé
Il était une fois un consultant en sécurité s'ennuyant tellement lors de son périple pour se rendre à la conférence SSTIC qu'il décida de manière inconsidérée de regarder mille et une lignes de code au sein du module Services du CMS Drupal. Quelle ne fut pas sa surprise de découvrir caché entre deux commentaires, un jeune et innocent chargement de document XML...

JSF : ViewState dans tous ses états

Magazine
Marque
MISC
Numéro
69
|
Mois de parution
septembre 2013
|
Domaines
Résumé
Les implémentations JSF sont courantes dans les applications J2EE. Les JSF utilisent les ViewState, déjà connus pour les attaques cryptographiques liées à l'utilisation d'un oracle [PADDING] ou pour réaliser des attaques côté client de type Cross-Site Scripting [XSS]. Nous allons voir qu'en réalité, ceux-ci peuvent aussi être utilisés pour mettre à mal la sécurité d'une application côté serveur.

Intrusion sur JBoss AS en 2013

Magazine
Marque
MISC
Numéro
67
|
Mois de parution
mai 2013
|
Domaines
Résumé
Il y a 3 ans, je présentais au SSTIC les résultats de mes recherches sur les serveurs JBoss AS. À l'époque, l'intrusion sur ce type de serveur était plutôt simple. Cependant, au cours des trois dernières années, les choses ont évolué : conférences, publications et avis de sécurité en série ont eu raison des failles les plus triviales, rendant l'intrusion sur ces serveurs beaucoup plus complexe. Alors finalement, qu'en est-il en 2013 ? C'est ce que nous allons voir...

Intrusion depuis un environnement Terminal Server avec rdp2tcp

Magazine
Marque
MISC
Numéro
55
|
Mois de parution
mai 2011
|
Domaines
Résumé
« Il était une fois un pentester qui découvrait le mot de passe pour se connecter sur un service Terminal Server lors d'un test d'intrusion. Passé un certain temps, il réussit (ou échoua) à compromettre le système localement avec une élévation de privilèges. Ennuyé, il commença à s'intéresser à la configuration réseau du Terminal Server. Soudain, il constata que ce serveur était connecté à un réseau invisible depuis son ordinateur !Le pentester décida donc d'attaquer le nouveau réseau depuis le Terminal Server. Malheureusement, il se lassa rapidement car il ne disposait pas des outils nécessaires sur le serveur pour attaquer. Aucun moyen de transférer un fichier, pas même un accès à Internet.Sans nouvelle découverte intéressante, le pentester finit par oublier ce serveur... »