Sécu - Les WebUIs gruyères
Alasta 24 Décembre 2013 security Apache CentOS cookie Dojo dvwa Hack Linux Apps Open Source Security shell webgoat
Description : Dans cette partie je vais vous présenter différentes applications Web "gruyère".
Description
Il existe plusieurs WebUIs "gruyères" de type Php/MySQL ou Java. Je les appelle "gruyères" car elles sont blindées de trous de sécurité (XSS, SQLi, ...), cela permet de s'entrainer/apprendre ces techniques et de s'en prémunir en développant convenablement et/ou à les protéger via des WAF lorsque l'on n'a pas la main sur ces serveurs.
Les WebUIs
Il en existe plusieurs :
- DVWA (Damn Vulnerable Web Application) : plusieurs niveaux de difficultés, en Php/MySQL
- OWASP WebGoat Project (Open Web Application Security Project) : en Java
Le second est plus fourni en exercices.
Vous pouvez télécharger les dernières versions sur leur site respectif, il faudra tout de même installer tous les pré-requis avant, sinon il existe Maven Security qui a packagé ces WebUIs dans une VM (Web Security Dojo) disponible ici, elle est basée sur une xubuntu.
Autres protections
- Etre plus attentif dans le développement de son application et la tester.
- Si l'on gère pas ces serveurs ou que l'on puisse pas en modifier le code, il existe des WAFs commerciaux ou open source.
En open source
- Naxsi, développé par une société Française (NBS-System), c'est un module qui s’intègre à un serveur NGINX.
- ModSecurity, un module qui s'intègre à Apache, NGINX et IIS.
En commerciaux
- Bee Ware (racheté par Deny All en mai 2014)
- ASM, du géant F5
- Imperva
- rWeb, développé par une société Française (Deny-All), anciennement développer par des ingénieurs de la Société Générale.
Il y en a surement beaucoup d'autres, mais ce sont ceux que je connais.