Archive for the ‘sécurité’ Category

Problème avec le pare-feu Zone Alarm

juillet 21, 2008

Zone Alarm est un pare-feu gratuit pour une utilisation personnelle. Je l’utilise sur un de mes postes depuis plusieurs mois, et j’en suis largement satisfait. Au début de ce mois, l’accès à internet ne fonctionnait plus. Très vite, j’ai remarqué que le problème venait de Zone Alarm. Une solution provisoire est de baissé le niveau « Internet zone security » de High à Medium.

Sur le différents forum, on trouve l’explication à ce problème : la mise à jour Windows XP KB951748 est à l’origine de ce problème pour la version 7.0.462 de Zone Alarm. L’éditeur de ce logiciel a très vite sorti une mise à jour, la version 7.0.483, mais qui ne semble pas exister en français. Zone Alarm est informé de la mise à jour, mais le site propose toujours pour les clients français l’ancienne version. Il faut donc absolument aller chercher la version anglaise pour avoir une version qui fonctionne (snif !).

Assez du Spam…

janvier 7, 2007

Le logiciel mesSpam permet de filtrer facilement et efficacement les Spams, la plus grande plaie de l’Internet actuellement. Ce logiciel est un freeware écrit par Arnaud Subtil. Il filtre les messages avant leur arrivée sur le client de messagerie. Il peut s’installer facilement sur un poste personnel. C’est donc une solution idéale pour une utilisation « domestique » (surtout lorsque le FAI ne fait rien !). Il fonctionne aussi bien avec Outlook et Thunderbird. Le filtre utilise trois méthodes classiques : premièrement des listes noires (sources interdites) et blanches (sources toujours autorisées), ensuite des listes DNSBL c’est à dire des listes connues et mises à jour d’adresses IP de postes servant à envoyer du spam. Cette méthode est certainement la plus efficace. Enfin la dernière est utilisation des tests bayesiens (repérant les mots courant dans les spams). Elle a perdu une partie de son intérêt car maintenant les spammeurs ont appris à s’adapter en plaçant leurs messages dans des images. Enfin le site de ce logiciel est en français et explique clairement comment l’utiliser.

Installation et utilisation de WebScarab

décembre 31, 2006

WebScarab est un outils issu de l’OWASP, association d’inspiration libre qui travaille sur les problèmes de sécurités des applications web. WebScarab permet d’intercepter et modifier les requêtes ainsi que les réponses HTTP, ce qu’un pirate peut faire lors de ses attaques sur un site web. Il s’agit d’un logiciel libre écrit en java.

Son installation est simple, il faut télécharger l’archive dans mon cas c’était webscarab-installer-20060718-1904.jar. L’installation est simple : java -jar webscarab-installer-20060718-1904.jar.

Webscarab sert de proxy applicatif. Donc il faudra modifier le proxy utilisé par le navigateur est mettre le proxy « localhost port 8008 » dans la connexion du navigateur.

définir le proxy dans Firefox

Démarrez WebScarab, définissez le proxy utilisé (celui que le navigateur utilisait auparavant) pour cela allez dans le menu tools\proxies et complétez la boite de dialogue.

définir le proxy dans WebScarab

Enfin il faut cocher la case à cocher « intercept request » pour intercepter et éventuellement manipuler la requête.

intercepter les requêtes

Les manipulations peuvent être nombreuses comme modifier la valeur d’un champ, ajouter un champ, supprimer un champ, de quoi planter le traitement côté serveur.

Dernière remarque, il est possible de manipuler les requêtes web avec d’autres outils. Par exemple la barre d’outils Web Developer permet également de nombreuses manipulation. Cette barre est une extension pour Firefox pour tout ce qui développement web. La partie « form » permet d’afficher les détail du formulaire dont les champs cachés, de convertir les champs « select » en « input », de supprimer la longueur maximale des champs input…

La conclusion de ce genre d’outils est de ne pas oublier que les contrôles mise en place côté client web par du javascript ou par d’autres techniques comme les longueurs maximales des champs input (attribut maxlength) ou comme les champs select pour limiter les choix dans une liste peuvent être facilement contournées. Il faut donc refaire les contrôles côtés serveur. Ceci n’est en fait que la vulnérabilité 1 du guide de l’OWASP « unvalidated input » ou en français « Paramètres non validés ».

L’OWASP (Open Web Application Security Project)

décembre 7, 2006

L’OWASP (Open Web Application Security Project) est un groupe de travail d’inspiration « libre ». Il est assez récent mais est devenu la référence sur le sujet de la sécurité des applications web. La sécurité en informatique est un sujet très vaste, donc il ne faut pas oublier de prendre en compte dans la conception des applications web les aspects de sécurité. L’OWASP a de nombreuses idées de projets. Détaillons simplement trois projets bien avancés : premièrement une définition des dix principales vulnérabilités des applications web, ensuite un didacticiel WebGoat présentant ces vulnérabilités et enfin WebScarab un proxy applicatif, c’est à dire qui permet de modifier des requêtes HTML avant de les envoyer aux serveurs. C’est trois projets méritent certainement des présentations plus détaillées.