Vaadata’s Blog - Website and mobile app security

Solutions 22 juin 2023

Test d’intrusion web : objectifs, méthodologie, tests en boite noire, grise et blanche

Face à des attaques de plus en plus nombreuses et élaborées, la sécurité des applications web est un enjeu majeur. En effet, la sécurité revêt aujourd’hui une importance capitale pour rassurer et fidéliser des clients, ou convertir des prospects.

Il existe plusieurs moyens d’évaluer la sécurité d’une application web. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion web (ou pentest web). Nous y détaillons les principes et objectifs ainsi que des use cases de tests d’intrusion en boite noire, grise et blanche sur diverses cibles.

Technique 14 juin 2023

Mass Assignment : principes, attaques et bonnes pratiques sécurité

Qu’est-ce qu’une vulnérabilité de type Mass Assignment ?

Pour faciliter la tâche aux développeurs, de nombreux frameworks intègrent des fonctionnalités qui associent automatiquement les paramètres d’une requête HTTP à des variables liées à un objet dans le code de l’application.

Une vulnérabilité de type Mass Assignment survient lorsque le serveur ne filtre pas correctement les données transmises par l’utilisateur et les associe directement à un objet sans vérification.

Solutions 16 mai 2023

Chiffrement des données et défaillances cryptographiques : Top 10 OWASP #2

Dans un précédent article, nous avions passé en revue la vulnérabilité la plus critique des applications web selon le Top 10 OWASP : le défaut de contrôle d’accès. Aujourd’hui, nous nous attaquons aux vulnérabilités et exploitations courantes liées au manque ou à l’absence de chiffrement dans les applications.

Technique 14 avril 2023

Audit en boite blanche d’un pipeline CI/CD sur AWS

Récemment, un de nos clients nous a demandé d’examiner son pipeline d’intégration et de déploiement continu (CI/CD), déployé sur une infrastructure AWS.

Dans cet article, nous allons montrer comment un développeur disposant d’un accès limité à GitLab aurait pu élever ses privilèges et accéder à des informations sensibles permettant de prendre le contrôle de l’infrastructure AWS et causer des dommages importants à l’organisation. Nous détaillerons également des bonnes pratiques et mesures à implémenter pour contrer ce type de risques.

Technique 7 avril 2023

Comment modifier des mots de passe pour sécuriser leur stockage avec Argon2 ?

Dans un précédent article, nous avons vu pourquoi il était important de stocker les mots de passe en base de données avec des fonctions de hachage robustes telles que Bcrypt et Argon2. Cela permet notamment de rendre totalement ineffectif des attaques brute force ou des attaques par dictionnaire.

Cependant, une problématique est régulièrement relevée sur des applications déjà existantes : comment utiliser les dernières recommandations sur le stockage des mots de passe sur une base de données déjà existante ?

Technique 7 avril 2023

Détournement de session (Hijacking) : principes, types d’attaques et exploitations

Le contrôle d’accès est un élément central pour garantir la sécurité des applications web. Il doit reposer sur une authentification robuste et une gestion des sessions tenant compte des divers risques sécurité, comme le détournement de session (session hijacking).

Exploitation XSS, fixation de session, absence de chiffrement, contournement de MFA, etc., il existe de nombreuses techniques pour détourner la session d’un utilisateur. Dans cet article, nous présentons les principales attaques et exploitations.

Solutions 27 mars 2023

Top 10 OWASP #1 : sécurité et vulnérabilités du contrôle d’accès

L’OWASP (Open Web Application Security Project) est une communauté qui œuvre à l’amélioration de la sécurité des systèmes d’information.

Cette organisation produit de nombreuses ressources, notamment des guides et normes de sécurité des applications dont l’OWASP Top 10. Elle développe également des outils open source comme ZAP (un proxy d’interception, alternative à BURP), ou Amass (pour cartographier sa surface d’attaque).

Technique 21 février 2023

Exploitation d’une injection HTML avec dangling markup

Lors d’un test d’intrusion d’application web, nous sommes tombés sur la situation suivante.

Solutions 14 février 2023

Authentification multifacteur (MFA) : principes, types d’attaques, exploitations et bonnes pratiques sécurité

Authentification multifacteur (MFA) : principes, attaques et mesures sécurité

L’authentification multifacteur (abrégé MFA pour multifactor authentication) est un mécanisme central qui permet de renforcer la sécurité des comptes et des accès utilisateurs sur un système.

En effet, c’est une méthode d’authentification qui permet de prévenir de nombreuses attaques et exploitations malveillantes visant la compromission de données : brute force, détournement de session, élévation de privilèges, etc.

Solutions 7 février 2023

Pseudonymisation des données : principes, techniques et bonnes pratiques

En quoi consiste la pseudonymisation de données ?

La pseudonymisation est une technique de protection des données, qui consiste à traiter des données de telle sorte qu’il ne soit pas possible de les attribuer à une personne spécifique sans avoir recours à des informations additionnelles. En effet, plus concrètement, il s’agit de remplacer les identificateurs personnels réels (noms, prénoms, emails, adresses, numéros de téléphone, etc.) avec des pseudonymes.

Technique 5 février 2023

Failles IDOR (Insecure Direct Object Reference) : principes, attaques, mesures et tests sécurité

Les IDOR (pour Insecure Direct Object Reference) sont des vulnérabilités très répandues dans les applications web au même titre que les failles XSS ou les injections SQL. Affiliées aux problèmes de droits, les failles IDOR sont en effet parmi celles que nous découvrons et exploitons le plus couramment lors de nos tests d’intrusion d’applications web.

Principes, scénarios d’attaques et exploitations, nous vous présentons dans cet article une vue d’ensemble des IDOR, ainsi que les bonnes pratiques sécurité et tests de droits à réaliser pour prévenir les risques d’attaques.

Solutions 27 janvier 2023

Élévation de privilèges sur systèmes Linux : techniques et bonnes pratiques sécurité

En quoi consiste l’élévation de privilèges ?

L’élévation de privilèges est un concept clé pour les attaquants qui cherchent à accéder à des informations sensibles ou à des fonctionnalités restreintes sur un système informatique. Généralement, cela consiste à exploiter des faiblesses de sécurité dans un système donné pour passer d’un niveau d’accès limité, avec des autorisations standards, à un niveau d’accès plus élevé, avec des droits plus importants.

Sur les systèmes Linux, il existe plusieurs techniques pour élever les privilèges d’un utilisateur. L’exploitation de faiblesses de configuration, les vulnérabilités présentes dans les programmes et la mauvaise gestion de droits en sont les principales.

Technique 26 janvier 2023

Exploitation d’un manque de contrôle de droits sur GraphQL

Lors d’un pentest d’application web, nous avons découvert une vulnérabilité liée à la configuration et à la mauvaise gestion des contrôles de droits sur GraphQL.