cleartext password over http
|
18-01-2016, 14h52
Message : #1
|
|
wfr34
Newbie Messages : 8 Sujets : 2 Points: 0 Inscription : Jan 2016 |
cleartext password over http
Bonjour à tous et toutes,
Je suis nouveau par ici J'aimerais en apprendre plus sur la faille "cleartext password over http" C'est le site d'un ami qui à cette faille après un scan sous VEGA (Kali Linux) c'est pas le top je vous avoue mais je ne sais pas scanner les failles à la main je suis encore qu'un petit passionnée de sécurité informatique. Mes questions. Comment on scanne à la main ? Comment on est sur que elle est présente c'est comme une faille SQL rajoute un apostrophe et on a l'erreur et ce que avec cette faille on a une technique pour le savoir si elle st vraiment présente ? Comment l'exploiter ? et on fini par comment on corrige cette faille ? Merci beaucoup d'avance. |
|
18-01-2016, 15h07
Message : #2
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: cleartext password over http
Salut,
alors, règle numéro une si tu veux devenir bon dans ce domaine, comprends ce que tu fais plutôt que de demander à des outils a faire les choses pour toi ! Laisse tomber ta Kali, ça sert a rien et c'est contre-productif pour un débutant. Pour répondre à ta question, la faille dont tu parle, c'est simple ça veut dire que le mot de passe est envoyé en clair via le protocol HTTP. Dèjà à partir de ça tu peux aller voir comment fonctionne ce protocole, ça t'aidera probablement à voir ce qu'est le problème réellement, et à mieux le comprendre. Une solution "simple" pour corriger le problème serait d'utiliser le protocole HTTPS à la place de HTTP. |
|
18-01-2016, 15h43
Message : #3
|
|
wfr34
Newbie Messages : 8 Sujets : 2 Points: 0 Inscription : Jan 2016 |
RE: cleartext password over http
Merci à toi pour la réponse !
Connaissant déjà le protocole HTTP et je viens de le revoir pour me rafrichir la mémoire (j'ai un peu oublier) Du coup sa ne m'explique pas totalement comment exploiter cette faille x) |
|
18-01-2016, 16h04
Message : #4
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: cleartext password over http
Pour ce qui est de l'exploitation, intéresse toi a ce qui est écoute réseau, avec un outil comme wireshark par exemple.
|
|
18-01-2016, 19h27
Message : #5
|
|
wfr34
Newbie Messages : 8 Sujets : 2 Points: 0 Inscription : Jan 2016 |
RE: cleartext password over http
On peut exploiter ça avec WireShark ?
Il faut que l'admin ce connecte pendant qu'on lance WireShark ou c'est comment ? |
|
18-01-2016, 19h32
Message : #6
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
RE: cleartext password over http
L'exploitation se passe via une attaque de type MITM, pour le reste, Google sera ton amis je pense.
|
|
18-01-2016, 20h50
Message : #7
|
|
wfr34
Newbie Messages : 8 Sujets : 2 Points: 0 Inscription : Jan 2016 |
RE: cleartext password over http
Le soucis Booster2ooo c'est que tout est en Anglais du coup je comprend pas tout :'(
|
|
18-01-2016, 20h50
Message : #8
|
|
infierno
Root Messages : 52 Sujets : 1 Points: 1 Inscription : Jun 2013 |
RE: cleartext password over http
salut, je trouve la question intéressante. je me suis moi même penché rapidement sur le sujet il y a quelque mois et si tu ne veux pas investir dans un certificat SSL, un moyen serai de chiffrer tes envois de formulaire côté client et donc avec du javascript.
Jette un coup d'oeil à jcryption. |
|
18-01-2016, 20h59
Message : #9
|
|
wfr34
Newbie Messages : 8 Sujets : 2 Points: 0 Inscription : Jan 2016 |
RE: cleartext password over http
Merci à toi Infierno pour ton aide
|
|
18-01-2016, 21h59
(Modification du message : 18-01-2016, 22h00 par GreenBlood.)
Message : #10
|
|
GreenBlood
Newbie Messages : 17 Sujets : 0 Points: 14 Inscription : Aug 2014 |
RE: cleartext password over http
Comme l'a dit l'ami Booster2ooo, MITM + L2FG + RTFM
Qui plus est, les certificats SSL et la sécurité HTTP c'est pas la même affaire les copains. Niveau sécu sur du pur HTTP y'a ben... Bah y'a rien en fait, ce protocole date d'une époque où la sécu était un point de détail dans l'histoire. (Ne parlons pas des authentifications Basic et Digest qui sont respectivement une jambe de bois destinée à un cul-de-jatte et le pansement sur cette même jambe de bois.) Non vraiment hein, le seul moyen de sécuriser un échange entre un client et un serveur via HTTP c'est le TLS. (Et pas besoin d'investir, un certificat SSL n'est pas forcément payant) Et puis chiffrement en js... Comment dire... Analogie, analogie... C'est tabasser le cul-de-jatte avec sa propre jambe de bois. (Et ceux qui activent pas JS sont dans la merde jusqu'au coudes) |
|
18-01-2016, 22h02
(Modification du message : 18-01-2016, 22h09 par ark.)
Message : #11
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: cleartext password over http
Je plussoie GreenBlood, et voici un lien pour avoir des certificats X.509 trusted et gratuit : https://letsencrypt.org/
EDIT: Il semblerait que les certificats fournis par letsencrypt ne soient pas geniaux: https://blog.imirhil.fr/2015/12/12/letse...ption.html Il reste cependant la solution de faire vos propres certificats (self-signed certificates), qui chiffrera la communication, mais affichera un message d'avertissement aux utilisateurs. Le probleme etant que si le certificat n'est pas signe, on est pas reellement a l'abri d'une attaque Man In The Middle... |
|
18-01-2016, 22h14
(Modification du message : 18-01-2016, 22h16 par infierno.)
Message : #12
|
|
infierno
Root Messages : 52 Sujets : 1 Points: 1 Inscription : Jun 2013 |
RE: cleartext password over http
Oui effectivement il existe cette solution pour des certificats gratuits (3 mois renouvelable) mais peu d'hébergeurs s'y sont mis.
Il était question d'HTTPS (HTTP + SSL) et de pas laisser passer les mdp de formulaire circuler en clair, voila pourquoi j'ai proposé la solution du chiffrement javascript. EDIT: Pour rebondir ark en effet on peut faire son certificat maison mais le mieux est d'en prendre un qui sort d'une CA approuvée pour rassurer l'internaute. |
|
19-01-2016, 11h41
Message : #13
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: cleartext password over http
Bonjour,
Attention "rassurer" l'internaute != sécurité. A ne pas confondre. Sinon je suis assez d'accord avec les acolytes SangVert et Ark. Un peu de RTFM, du temps et IRC. N'hésitez pas a venir poser vos questions. Code : irc.big-daddy.fr/#N-PN Junky, Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
19-01-2016, 13h41
Message : #14
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: cleartext password over http
(18-01-2016, 22h02)ark a écrit : Je plussoie GreenBlood, et voici un lien pour avoir des certificats X.509 trusted et gratuit : https://letsencrypt.org/ Ceci dit c'est pas garanti même avec un certificat signé par une autorité reconnue (suffit qu'un Etat oblige un CA sur son territoire à leur fournir un certificat signé par le CA pour le(s) site(s) qu'ils veulent MITM et hop, c'est transparent pour l'end user, ou pire qu'un CA se fasse piquer sa clé privée de signature de certificats, un attaquant peut l'utiliser jusqu'à ce que la clé/les certifs signés avec elle soient révoqués, ce qui peut prendre du temps si l'intrusion n'est pas détectée)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
19-01-2016, 13h44
Message : #15
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: cleartext password over http
(19-01-2016, 13h41)supersnail a écrit : Ceci dit c'est pas garanti même avec un certificat signé par une autorité reconnue (suffit qu'un Etat oblige un CA sur son territoire à leur fournir un certificat signé par le CA pour le(s) site(s) qu'ils veulent MITM et hop, c'est transparent pour l'end user, ou pire qu'un CA se fasse piquer sa clé privée de signature de certificats, un attaquant peut l'utiliser jusqu'à ce que la clé/les certifs signés avec elle soient révoqués, ce qui peut prendre du temps si l'intrusion n'est pas détectée) Oui, complètement. =) Mais j'ai fais le choix de pas en parler volontairement, parce que ça demande de recourir à des mesures "extrêmes". |
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 3 visiteur(s)