Argh ! Enfin les vacances. Je suis sur les genoux.
Bientôt deux mois sans rien poster ! La honte...Pour ma défense, il faut savoir que les fins de semestre sont toujours super chargées pour les pov' p'tits pentesteurs. A croire que nos prestations ne sont commandées qu'avec des queues de crédit ou des fonds de tiroir. Et enfin, ma fille ainée est rentrée en maternelle cette année. Elle rapporte donc toutes les maladies infantiles du continent à sa p'tite soeur. Mes nuits sont bientôt plus fatiguantes que mes jours...
Nous avons terminé aujourd'hui, zaz idan et moi-même (bizarre ce pseudo, cela ressemble un peu à Zapp Brannigan ! Un parent ?) un audit marathon d'une quarantaine d'applications Web. Dur de réussir à vendre une prestation de qualité lorsque vos concurrents (apparemment, en place chez le client depuis des années) se contente d'un simple scan Nessus ! Bref, il a fallu s'aligner et casser les prix et faire en 15 jours ce qui aurait du être vendu en 40. La galère !
Mais, bon la pêche a été super bonne. Il faut dire que dix ans de scans Nessus sur des portails extranet, cela laisse tout un tas de vulnérabilités super critiques. Un vrai festival du hack. On s'est régalé !
Ces trois dernières semaines nous ont donc permis de tester sur un grand nombre de technos et de plates-formes la version béta, puis la version finale de Burp Suite, nouvelle mouture. Un seul regret, c'est la sortie tardive de sqlmap qui prend désormais en entrée les log de burp. Cela devient de la tuerie...
Pour revenir à Burp, même si les deux premières versions béta étaient plutôt instables, nous avons pu comparer nos tests habituels sous Burp, aux résultats du scanner de vuln' web GrosCulnetix (figure imposée par le client, qui insistait pour avoir du scan !!!). Il n'y a vraiment pas photo, surtout lorsque l'on passe au travers un SiteMinder dernier cri (mais avec des cookies mal gérés par les appli') et des portails extranet WebLogic montés à l'ancienne (mod_rewrite et iframes bidons à la Apache Coyotte vers des vieux Tomcat, Domino et IIS-ASP), alors qu'ils devraient normalement s'appuyer sur leurs fonctionnalités d'hubs de connexions en T3 vers les seules bases de données !!
Bon. Je dois y aller. Si vous avez des trucs à partager sur Burp ou autre chose. N'hésitez pas... Cela me donnera peut être envie de réécrire durant mes vacances (si je trouve une connexion wifi pas trop éloignée et hackable sans antenne externe près de ma location ! Pas évident...)
vendredi, décembre 19, 2008
Inscription à :
Publier les commentaires (Atom)
Articles
Bonnes vacances !
RépondreSupprimerMoi j'attends ta revue complète du nouveau Burp :)
Salut,
RépondreSupprimerPeux tu nous donner un peu plus de détails sur Burp ? Que trouve-t-il de plus que Acunetix ? Burp est surement plus pratique pour l'exploitation mais en terme de détection de failles, Acunetix n'est il pas meilleur ?
En fait, Burp ne casse pas des briques niveau scanner de vuln', bien qu'il relève des choses intéressantes ; comme par exemple, l'absence des drapeaux secure et httponly des cookies gérant les identifiants de session.
RépondreSupprimerIl m'a également surpris en relevant un XSS pas très évident dans le pied de page d'une vue jsp sur un serveur domino planqué derrière un portail WebLogic. Le genre de chose que ne relèvera jamais Grosculnetix, qui a été développé par des spécialistes de php et d'Asp.net.
Les servlets exotiques sont complètement illisibles pour acunetix, apparemment. J'attends d'avoir sous la main un gros site en asp.net pour me faire une idée définitive sur ce scanner.
Voila. C'est tout pour ce soir, en ce qui concerne Burp.
De toute manière, j'ai passé ma semaine sur un pentest système pur : juste un p'tit travail sur des opcodes à "frenchiser" et des variables à redéfinir sur des sploits tout chauds, apparemment développés par des analphabètes du C... Rien de bien méchant, si ce n'est le client qui en voulait pour son argent : " il vous reste deux jours dans ce pentest (couillon de collègue qui en a vendu pour 5 jours...), je vais vous donnez d'autres cibles situées en Australie et Asie du Sud-Est (super, si mon sploit fait planté le serveur, je réveille l'admin !!"
La morale de la semaine : "il ne faut pas avouer trop vite que vous êtes en train de cracker les hashs du DC principal du client, alors qu'il vous reste trois jours de presta'..."
En parlant de hash, 2.632 hashs crackés en 18mn avec john et un dico de 48MB, un record ou plutôt la présence d'une politique de sécurité bien pourrie niveau password ;-) !! C'est selon... Bon week'end à tous.