• STATISTIQUES
  • Il y a eu un total de 0 membres et 28025 visiteurs sur le site dans les dernières 24h pour un total de 28 025 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] frameip
    le site de partage des connaissances du monde TCPIP
    Protocole
    [FR] Comment ca marche
     Gratuit et accessible à tous, ce site de communauté permet de se dépanner, se faire aider ...
    Webmaster
    [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
cleartext password over http
18-01-2016, 14h52
Message : #1
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
cleartext password over http
Bonjour à tous et toutes,
Je suis nouveau par ici Big Grin J'aimerais en apprendre plus sur la faille "cleartext password over http"

C'est le site d'un ami qui à cette faille après un scan sous VEGA (Kali Linux) c'est pas le top je vous avoue mais je ne sais pas scanner les failles à la main je suis encore qu'un petit passionnée de sécurité informatique.

Mes questions. Comment on scanne à la main ?
Comment on est sur que elle est présente c'est comme une faille SQL rajoute un apostrophe et on a l'erreur et ce que avec cette faille on a une technique pour le savoir si elle st vraiment présente ?

Comment l'exploiter ?

et on fini par comment on corrige cette faille ?

Merci beaucoup d'avance.
+1 (0) -1 (0) Répondre
18-01-2016, 15h07
Message : #2
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: cleartext password over http
Salut,

alors, règle numéro une si tu veux devenir bon dans ce domaine, comprends ce que tu fais plutôt que de demander à des outils a faire les choses pour toi ! Laisse tomber ta Kali, ça sert a rien et c'est contre-productif pour un débutant.

Pour répondre à ta question, la faille dont tu parle, c'est simple ça veut dire que le mot de passe est envoyé en clair via le protocol HTTP. Dèjà à partir de ça tu peux aller voir comment fonctionne ce protocole, ça t'aidera probablement à voir ce qu'est le problème réellement, et à mieux le comprendre.

Une solution "simple" pour corriger le problème serait d'utiliser le protocole HTTPS à la place de HTTP.
+1 (2) -1 (0) Répondre
18-01-2016, 15h43
Message : #3
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: cleartext password over http
Merci à toi pour la réponse !
Connaissant déjà le protocole HTTP et je viens de le revoir pour me rafrichir la mémoire (j'ai un peu oublier)
Du coup sa ne m'explique pas totalement comment exploiter cette faille x)
+1 (0) -1 (0) Répondre
18-01-2016, 16h04
Message : #4
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: cleartext password over http
Pour ce qui est de l'exploitation, intéresse toi a ce qui est écoute réseau, avec un outil comme wireshark par exemple.
+1 (1) -1 (0) Répondre
18-01-2016, 19h27
Message : #5
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: cleartext password over http
On peut exploiter ça avec WireShark ?
Il faut que l'admin ce connecte pendant qu'on lance WireShark ou c'est comment ?
+1 (0) -1 (0) Répondre
18-01-2016, 19h32
Message : #6
Booster2ooo Hors ligne
Contributeur
*****



Messages : 165
Sujets : 14
Points: 63
Inscription : Aug 2011
RE: cleartext password over http
L'exploitation se passe via une attaque de type MITM, pour le reste, Google sera ton amis je pense.
+1 (1) -1 (0) Répondre
18-01-2016, 20h50
Message : #7
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: cleartext password over http
Le soucis Booster2ooo c'est que tout est en Anglais du coup je comprend pas tout :'(
+1 (0) -1 (0) Répondre
18-01-2016, 20h50
Message : #8
infierno Hors ligne
Root
*



Messages : 52
Sujets : 1
Points: 1
Inscription : Jun 2013
RE: cleartext password over http
salut, je trouve la question intéressante. je me suis moi même penché rapidement sur le sujet il y a quelque mois et si tu ne veux pas investir dans un certificat SSL, un moyen serai de chiffrer tes envois de formulaire côté client et donc avec du javascript.

Jette un coup d'oeil à jcryption.
+1 (0) -1 (0) Répondre
18-01-2016, 20h59
Message : #9
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: cleartext password over http
Merci à toi Infierno pour ton aide Smile
+1 (0) -1 (0) Répondre
18-01-2016, 21h59 (Modification du message : 18-01-2016, 22h00 par GreenBlood.)
Message : #10
GreenBlood Hors ligne
Newbie
*



Messages : 17
Sujets : 0
Points: 14
Inscription : Aug 2014
RE: cleartext password over http
Comme l'a dit l'ami Booster2ooo, MITM + L2FG + RTFM

Qui plus est, les certificats SSL et la sécurité HTTP c'est pas la même affaire les copains. Niveau sécu sur du pur HTTP y'a ben... Bah y'a rien en fait, ce protocole date d'une époque où la sécu était un point de détail dans l'histoire. (Ne parlons pas des authentifications Basic et Digest qui sont respectivement une jambe de bois destinée à un cul-de-jatte et le pansement sur cette même jambe de bois.)

Non vraiment hein, le seul moyen de sécuriser un échange entre un client et un serveur via HTTP c'est le TLS. (Et pas besoin d'investir, un certificat SSL n'est pas forcément payant)

Et puis chiffrement en js... Comment dire... Analogie, analogie... C'est tabasser le cul-de-jatte avec sa propre jambe de bois. (Et ceux qui activent pas JS sont dans la merde jusqu'au coudes)
+1 (4) -1 (0) Répondre
18-01-2016, 22h02 (Modification du message : 18-01-2016, 22h09 par ark.)
Message : #11
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: cleartext password over http
Je plussoie GreenBlood, et voici un lien pour avoir des certificats X.509 trusted et gratuit : https://letsencrypt.org/

EDIT: Il semblerait que les certificats fournis par letsencrypt ne soient pas geniaux: https://blog.imirhil.fr/2015/12/12/letse...ption.html
Il reste cependant la solution de faire vos propres certificats (self-signed certificates), qui chiffrera la communication, mais affichera un message d'avertissement aux utilisateurs. Le probleme etant que si le certificat n'est pas signe, on est pas reellement a l'abri d'une attaque Man In The Middle...
+1 (1) -1 (0) Répondre
18-01-2016, 22h14 (Modification du message : 18-01-2016, 22h16 par infierno.)
Message : #12
infierno Hors ligne
Root
*



Messages : 52
Sujets : 1
Points: 1
Inscription : Jun 2013
RE: cleartext password over http
Oui effectivement il existe cette solution pour des certificats gratuits (3 mois renouvelable) mais peu d'hébergeurs s'y sont mis.
Il était question d'HTTPS (HTTP + SSL) et de pas laisser passer les mdp de formulaire circuler en clair, voila pourquoi j'ai proposé la solution du chiffrement javascript.

EDIT: Pour rebondir ark en effet on peut faire son certificat maison mais le mieux est d'en prendre un qui sort d'une CA approuvée pour rassurer l'internaute.
+1 (0) -1 (0) Répondre
19-01-2016, 11h41
Message : #13
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: cleartext password over http
Bonjour,

Attention "rassurer" l'internaute != sécurité. A ne pas confondre. Sinon je suis assez d'accord avec les acolytes SangVert et Ark. Un peu de RTFM, du temps et IRC. N'hésitez pas a venir poser vos questions.

Code :
irc.big-daddy.fr/#N-PN


Junky,
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (2) -1 (0) Répondre
19-01-2016, 13h41
Message : #14
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: cleartext password over http
(18-01-2016, 22h02)ark a écrit : Je plussoie GreenBlood, et voici un lien pour avoir des certificats X.509 trusted et gratuit : https://letsencrypt.org/

EDIT: Il semblerait que les certificats fournis par letsencrypt ne soient pas geniaux: https://blog.imirhil.fr/2015/12/12/letse...ption.html
Il reste cependant la solution de faire vos propres certificats (self-signed certificates), qui chiffrera la communication, mais affichera un message d'avertissement aux utilisateurs. Le probleme etant que si le certificat n'est pas signe, on est pas reellement a l'abri d'une attaque Man In The Middle...

Ceci dit c'est pas garanti même avec un certificat signé par une autorité reconnue Big Grin (suffit qu'un Etat oblige un CA sur son territoire à leur fournir un certificat signé par le CA pour le(s) site(s) qu'ils veulent MITM et hop, c'est transparent pour l'end user, ou pire qu'un CA se fasse piquer sa clé privée de signature de certificats, un attaquant peut l'utiliser jusqu'à ce que la clé/les certifs signés avec elle soient révoqués, ce qui peut prendre du temps si l'intrusion n'est pas détectée)
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (2) -1 (0) Répondre
19-01-2016, 13h44
Message : #15
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: cleartext password over http
(19-01-2016, 13h41)supersnail a écrit : Ceci dit c'est pas garanti même avec un certificat signé par une autorité reconnue Big Grin (suffit qu'un Etat oblige un CA sur son territoire à leur fournir un certificat signé par le CA pour le(s) site(s) qu'ils veulent MITM et hop, c'est transparent pour l'end user, ou pire qu'un CA se fasse piquer sa clé privée de signature de certificats, un attaquant peut l'utiliser jusqu'à ce que la clé/les certifs signés avec elle soient révoqués, ce qui peut prendre du temps si l'intrusion n'est pas détectée)

Oui, complètement. =) Mais j'ai fais le choix de pas en parler volontairement, parce que ça demande de recourir à des mesures "extrêmes".
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut