(04/10/2013 - en cours de rédaction).
RFI (Remote File Inclusion)
Les RFI sont des vulnérabilités qui permettent l’interprétation de code d’un serveur WEB à partir d’une URL distance.
Se reporter à la page suivante : https://www.malekal.com/2013/10/03/atta ... wordpress/
Ces vulnérabilités sont en général dues à de mauvaises filtrages sur les variables.
Exemple : https://www.malekal.com/modsec/index.ph ... 09.213.146
LFI (Local File Inclusion)
Les LFI partent du même principe que les RFI à l'exception qu'elles permettent seulement l'inclusion de fichiers locaux.
Exemple avec l'URL suivante :
Code : Tout sélectionner
http://vulnerable_host/preview.php?file=../etc/passwd
Exemple : https://www.malekal.com/modsec/index.ph ... 121.133.57
SQL (SQL Injection)
Les SQLi sont des vulnérabilités qui permettent l'accès à la base de données.
Elles sont dues à de mauvais filtrage dans les requêtes effectuer à partir de paramètre envoyer depuis les pages WEB (par exemple un id).
Exemple : https://www.malekal.com/modsec/index.ph ... 06.137.140
Pour plus d'informations, se reporter à la page suivantes : https://www.malekal.com/2012/10/08/sql- ... mentaires/
XSS (Cross-site scripting)
Ces vulnérabilités permettent via une URL donnée à la victime, l'execution de code par le navigateur WEB de la victime.
Cela permet donc par exemple l'execution de javascript sur le PC de la victime afin d'éventuellement de lancer l’exécution d'un malware et prendre la main sur le système.
Ces vulnérabilités tirent partie d'un mauvais filtrage des éléments envoyés sur le site.
Par exemple sur un formulaire de recherche qui affiche les éléments cherchés, si les caractères < et > ne sont pas filtrés, il est alors possible de faire exécuter des balises javascript - exemple <script type="text/javascript">code</javascript> sur le navigateur de la victime.
Bruteforce
Les bruteforces consistent à tenter des couple login/mot de passe afin de pouvoir s'authentifier.
Les mots de passe sont en général pris sur un dictionnaire, cela peux fonctionner si le mot de passe est faible.
WordPress est par exemple assez ciblé, il existe même des malwares qui tentent ces attaques - voir la page suivante : https://www.malekal.com/2013/08/12/word ... uteforcer/
Ci-dessous une attaque ciblée venant de l'IP : 77.223.130.74
On voit bien le pic de l'attaque sur le graphique ci-dessous :
Conséquences des attaques
Les attaques WEB peuvent avoir deux buts :
- Ajouter le serveur WEB dans un botnet afin de le contrôler pour lancer des attaques DoS, Spammer, effectuer des ports scans, utiliser le serveur comme relai proxy ou scanner afin d'attaquer d'autres serveurs WEB. Cela peux se faire à partir de PHP Shell ou des IRC Backdoor PHP/PERL
- Modifier le contenu des pages afin d'infecter les visiteurs : Piratage/Hack site web et Javascript malicieux