e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english




Un lisant un billet sur la difficulté de marier entre sécurité et facilité d'utilisation ou convenance, je me suis souvenu d'un constat que j'ai fait en vérifiant la validité des couplets user/password de la messagerie Wissal du Cerist qu'un "super hacker" a posté sur forumdz.com.
Ce qui a attiré mon attention, c'est la gestion des erreurs lors des accés. Les administrateurs ont soit priviligié la "convenance" sur la sécurité...et ils sont libres, c'est leur choix, ou (et là c'est plus problématique) ils ne sont pas conscients de la "vulnérabilité" qu'ils ont laissé.

Alors de quoi s'agit-il ?

Simplement , le site en question nous renseigne sur l'existance ou non d'un compte indépendament de la validité du mot de passe.

Vous me diriez que ce n'est pas vraiment grave....peut-être, mais pour moi ça divise en deux l'effort à fourir en brute-force; On ne test que le password. Et quand on sait que les mêmes compte sont généralement utilisés pour d'autres choses, on voit bien l'importance de la chose.

Vérifiant ensemble :


j'aime bien le "toto" des français :)


Ok, là une très bonne gestion du message d'erreur, pas d'indiquation sur la cause du rejet...mais...mais

ils vous disent "Veuillez vérifier".... vérifier quoi ?!


Ha bon, vous n'avez pas de compte "toto" .....

Hummm, essayons un autre compte et vérifiant du coups :

On nous donne même les dates de création et d'expiration !!! Merci c'est très gentil :)


Essayons le fameux root :

interessant...




Maintenant, est-ce qu'on va les essayer un à un ? évidement non :)
L'url qui fait la vérificatioon est donnée en cadeaux et en clair :)

http://wissal.dz/register/checkAccountLdap.php?compte=CompteToTest

Il ne reste qu'à faire un petit script pour automatiser le tout, du genre :

For CompteToTest in Dictionnaire
url de validation
Recuperer comptes valides

Alors avant de finir, trois petites remarques :

1- Ces vulnérabilités, qu'on peut appeler "conceptuelles" ou de design ne sont pas le propres de nos sites, c'est presque la règle
2- Je suis toujours fidèle à ce que j'ai dit dans mon premier billet de ce blog (pas de hack). Ce que je viens de montrer ne compromet pas directement le serveur, en plus je vais signaler mon billet aux admin du site en question
3- Je n'ai aucune animosité envers le Cerist, d'ailleur j'en ne connais personne. Mais être gestionnaire du domaine DZ, implique des responsabilités et un niveau de sécurité "acceptable".

10 commentaires

  1. Anonyme  

    Excellent billet merci beaucoup ch'riki :) j'aime bien ce que tu fais. Continue comme ça :)

    Salutations amicales

  2. SecDZ - Salah Nadir  

    Merci ButterflyOfFire, j'y compte bien...
    Un prochain billet, dès que j'ai le temps, sera consacré à l'état des DNS algériens....

  3. Anonyme  

    Bonjour amigo,

    Merci beaucoup pour l'info,
    bon bah sans rien te cacher mon frere, ca changera rien de signaler la vulz parce qu'ils ne regardent pas leurs mails, d'ailleur j'avais essayé de les contacter des milliers de fois mais sans réponse, et puis tu peux aussi ajouter qu'il existe une faille de type Xss dans la vérification des users ce qui permet le vol des cookies d'un modo ou un admin bref .. c'est ce que j'appelle un site multi trous, il suffit de regarder le site pour qu'il soit hors ligne .. sincerement je n'ai marre de nos RSSI !

    Cordialement

  4. SecDZ - Salah Nadir  

    @intranet :

    Tu as raison de désespérer...d'ailleur, le contact "officiel" drsi@wissal.dz à qui j'ai envoyé le mail n'existe pas !!!

    Main bon, à mon avis, on doit signaler tout problème. Ils sont quand même LE Registar algérien, et si j'ai bonne mémoire, j'ai lu quelque part sur le net qu'ils ont été présentis pour être notre CERT national...tous ça implique des responsabilités, et leur défaillance nuira directement ou indirectement à tout le monde.

  5. Anonyme  

    Si seulement il n y avait que cette vulnérabilité ...!!
    Mais malheureusement, reporter les vulnérabilités ne sert à rien dans la plupart des cas :(

  6. Anonyme  

    Salama Salah c'est le siiper-hacker dont tu parles lol
    Bah pour tout dire les mots de passe étaient accessibles (via une liste) a quiconque cherchait bien ;-) et je sais que tu les ai trouvé vu que tu es dans le mail4 ;-) ....
    Maintenant que le compte "drsi" n'est plus, je peux donner son passe ;-) [virus20ikarus02] lol
    Je crois que les gens du Cerist sont atteint de la fameuse maladie du jemenfoutisme chronique, la preuve je suis sur un autre serveur a eux :-)
    ------------------------------------
    badrh0 = higgs_b0s0n ;-)

  7. SecDZ - Salah Nadir  

    @OstenX

    "Si seulement il n y avait que cette vulnérabilité ...!!"

    Tu as raison, celle là n'est rien par rapport à d'autres....mais les "autres" vont me conduire à montrer en quelques sorte comment pirater le site. Je sais que c'est facile de le faire..mais ce n'est pas moi qui aidera à le faire.

    "Mais malheureusement, reporter les vulnérabilités ne sert à rien dans la plupart des cas :("

    Je comprend bien ton "désespoir" :-) mais je ne suis pas pour autant d'accord. Rapporter les vulns n'est pas suffisant, mais nécessaire à mon sens, tôt ou tard ça aura un résultat...c'est ma conviction.

    @Anonyme (badrh0 = higgs_b0s0n = super hacker) si j'ai bien compris :)

    "et je sais que tu les ai trouvé vu que tu es dans le mail4 ;-)"

    Non je n'ai rien trouvé, et c'est quoi le mail4 ?!

    "la preuve je suis sur un autre serveur a eux :-)"

    Et en quoi ça fera avancer les choses, à part te sentir "super hacker de la mort" ??!!!

  8. Anonyme  

    @Salah:
    Il est clair que reporter la vulnérabilité reste une étape nécessaire. Je disais juste que dans la plupart des cas il n y a aucun résultat qui suit. Et quand un beau jour le site est sécurisé c'est toujours le fruit d'un contrat avec une société "spécialisée" (qui vire tout ce qui y avait avant, au lieu de corriger l'existant. Faut dire que le contrat est d'autant plus juteux), mais rarement le fruit du travail de l'admin. Le laisser-aller reste roi.

  9. SecDZ - Salah Nadir  

    @OstenX
    "le fruit d'un contrat avec une société "spécialisée""

    Peut-être que rapporter les vulns les oblige à aller vers les pros :)
    La finalité est la même : sécurité (même avec un petit grain de regret : attendre l'autre)

    HS: apparement tu ne postes plus sur ton blog ?

  10. Anonyme  

    Oui, disons que je suis assez débordé ;)

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)