Les attaques possibles via les payload Intruder en font l'outil de pentest web le plus abouti du moment. Par exemple, les injections SQL, permettant d'extraire des données d'une base, peuvent être forgées très rapidement en retravaillant l'injection à partir du message d'erreur (via regex), puis en les lançant un bon millier de fois pour dévaliser la base. Il faut tout de même faire attention aux architectures en pré-prod, dont le client vous a assuré qu'elles étaient totalement séparées de la prod... à l'exception des boîtiers Altéon complétement poussifs qui coincent à 1.000 sessions la minute !!! Trois minutes pour configurer le regex, c'est vraiment rapide à côté du temps que prenait la rédaction du script Perl.
Trouver des Race condition est une promenade de santé, bien que la dernière version de PeopleSoft Enterprise Human Capital Management nous a résisté durant près de 10 heures. Mais, avec seulement une dizaine de fonctionnalités utilisées (sur une centaine) et surtout aucun code-maison qui ne s'écarte des putains de variables liées à trois étages façon Dev-Oracle-Next-Generation, nous n'avions aucune chance. Heureusement que la clôture d'un compte suite à un brute force possédait une petite subtilité sur la page de résultat en cas de réussite... sinon, nous étions marrons pour cette appli. !
Heureusement que PeopleSoft et un Oracle 10g release 2 (qui se faisait passer pour du 9i, selon notre client et ses développeurs en tout cas) n'étaient pas les seuls plats au menu de ce pentest. Nous avons pu nous gaver de la partie Web de Business Object et d'appli partagées sur un cluster Domino de folie...
Articles
Bienvenue du côté obscur alors !
RépondreSupprimerComme quoi il ne faut pas dire "fontaine je ne boirai pas de ton eau" :)