Analyses de code et recherche de vulnérabilités

Magazine
Marque
MISC
HS n°
Numéro
9
Mois de parution
juin 2014
Domaines


Résumé

La recherche de vulnérabilités est généralement menée en plusieurs étapes : identifier des parties du code potentiellement dangereuses puis étudier la possibilité de les exploiter, par exemple pour corrompre la mémoire. Dans cet article, nous montrons comment des techniques d'analyse statique de code apportent une aide significative à ces étapes.


1. Détection de vulnérabilités

Détecter des vulnérabilités est un processus complexe, d'autant plus que les applications grossissent et que les vulnérabilités exploitées deviennent de plus en plus sophistiquées. Pour illustrer cette montée en complexité, il suffit de prendre pour exemple l'édition 2014 du concours Pwn2Own. Durant cette édition, tous les navigateurs web ont pu être mis en défaut. Cependant, la difficulté à trouver les vulnérabilités et la complexité des exploits obtenus sont révélatrices du niveau d'expertise nécessaire. Par exemple, la société Vupen a expliqué qu'elle a dû effectuer 60 millions de tests sur Firefox pour trouver un 0-day [1]. Il devient donc nécessaire de disposer d'outils assistant au mieux le processus de recherche de vulnérabilités. Dans cet article, nous montrons comment des techniques reposant sur l'analyse de code (source ou assembleur) peuvent être utilisées dans ce processus.

Précisons tout d'abord la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Spectre, 3 ans après

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Spectre, et son pendant Meltdown, est une faille qui repose sur l’architecture moderne de nos processeurs. Dans cet article, nous verrons l’impact que cette vulnérabilité a eu sur le développement d’applications web.

Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Dans un rapport datant d’avril 2020, GitLab indique que 18 % des dépôts analysés sur gitlab.com comportaient des problèmes de gestion des secrets. Quelles peuvent être les conséquences liées à ces erreurs ? Quelle stratégie adopter pour gérer au mieux ses secrets ?

Zerologon pour les (mots de passe) nuls

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

ZeroLogon est LA vulnérabilité de septembre 2020 qui expose de nombreux domaines Windows à une compromission totale via un scénario d’exploitation réaliste et fiable. Mais ce qui donne à Zerologon ses lettres de noblesse c’est qu’elle repose essentiellement sur la mauvaise utilisation d’un algorithme cryptographique permettant de réaliser une attaque à clair choisi particulièrement astucieuse. Zoom sur la vulnérabilité la plus passionnante de la rentrée 2020 !