IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Pourriez-vous battre les hackers à leur propre jeu ?

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut Pourriez-vous battre les hackers à leur propre jeu ?
    Pourriez-vous battre les hackers à leur propre jeu ?
    Une mise en situation sur GoogleCode vous permet de le savoir


    « Vous voulez battre les hackers à leur propre jeu ? »

    Notre attention a été attirée deux fois par ce défi singulier (merci à Ricky81 – responsable rubrique Java, et valkirys). Un défi qui consiste, en substance, à faire par vous même votre propre Pwn2Own depuis chez vous.

    L'exercice vient d'être mis en ligne sur la Google Code University. Il s'agit en fait une démonstration pour « apprendre comment les hackers trouvent les vulnérabilités, comment les hackers exploitent les applications webs », et surtout « comment les stopper ».

    Comme il est bien connu que c'est en forgeant que l'on devient forgeron, les trois auteurs (Bruce Leban, Mugdha Bendre, et Parisa Tabriz) de ce « Codelab » vous proposent donc de mettre les mains dans le cambouis.

    Nos trois développeurs ont donc imaginé une application que vous allez devoir maltraiter.

    « Le meilleur moyen d'apprendre, c'est de faire les choses. Vous aurez donc la possibilité d'effectuer des vrais tests d'intrusions, et d'exploiter une vraie application ».

    Au menu, mise en pratique du Cross-Site Scripting (XSS) ou de son dérivé lointain le Cross-Site Request Forgery (XSRF).

    Mais le but n'étant pas de devenir un pirate, les différents défis sont bien évidemment orientés pour apprendre à « trouver, résoudre et éviter les vulnérabilités classiques et les autres bugs qui ont des conséquences sur la sécurité, telles que les dénis de service (DOS) […] ou l'exécution d'un code à distance ». Il ne s'agit donc pas d'un manuel pour sombrer du côté obscur de la force.

    La malheureuse application à attaquer se nomme Jarlsberg.

    Elle possède (volontairement) de nombreuses failles. « Votre job consistera à jouer le rôle d'un hacker (sic) malicieux pour trouver et exploiter ces failles ».

    Trois types de défis sont proposés.

    Dans les défis de type black box hacking, vous jouerez un pirate « en manipulant les champs de saisie et les paramètres URL, pour essayer de provoquer des erreurs et […] observer comment le serveur réagit ».
    Dans ce type d'attaque vous n'aurez pas accès au code source de Jarlsberg.

    Dans les défis de type white-box hacking (où vous endosserez le rôle du gentil défenseur), vous pourrez en revanche le consulter.

    Le troisième type de mise en situation mélange black et white box hacking.

    Jarlsberg est codé en Python. Ses auteurs précisent donc que quelques connaissances sur le langage peuvent aider mais qu'elles ne sont absolument pas indispensables pour apprécier ce Codelab.

    Au final, un bon exercice qui vaut le détour.

    Et surtout un vrai test de connaissances pour tous les développeurs qui s'intéressent un tant soit peu à la sécurité de leurs applis.


    Le Web Application Exploits and Defenses de Bruce Leban, Mugdha Bendre, et Parisa Tabriz se trouve ici.


    Lire aussi :

    26 % des hackers préfèrent utiliser Opera : pourquoi ?
    Les kits de piratage « tout-en-un » démocratiseraient la cyber-criminalité

    Le Cigref et l'Inhesj ouvrent une formation en sécurité informatique, des études sont-elles nécessaires dans cette spécialité ?

    Les rubriques (actu, forums, tutos) de Développez :

    Sécurité
    Python
    HTML
    AJAX
    Développement Web

    Et vous ?

    Que pensez-vous de cette mise en situation ? Vous a-t-elle appris quelque chose ?

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    +10, ce sont toujours des jeux intéressants, mais là c'est packagé, bien présenté, téléchargeable, modifiable, et gratuit !!
    Bref ce n'est que du bon.

    On regrette par contre que les réponses soient incluses dans la présentation !!

  3. #3
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Février 2006
    Messages
    23
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations forums :
    Inscription : Février 2006
    Messages : 23
    Points : 25
    Points
    25
    Par défaut Pourquoi google buzz sur des idées réchauffées?
    Vu que je travaille dans la sécurité informatique je ne peux que féliciter ce genre d'initiative mais je me demande pourquoi c'est google qu'on félicite pour cette idée!
    Un groupe qui fournit des logiciels open-source depuis des années, OWASP, a dévéloppé un projet similaire WebGoat qui est viable depuis quelques temps deja et qui je pense le fait mieux que Google.
    Cela m'attriste un peu pour eux que Google récupère les lauriers de ce genre d'initiative.
    * J'ai rajouté le lien

  4. #4
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par shenril Voir le message
    Vu que je travaille dans la sécurité informatique je ne peux que féliciter ce genre d'initiative mais je me demande pourquoi c'est google qu'on félicite pour cette idée!
    Un groupe qui fournit des logiciels open-source depuis des années, OWASP, a dévéloppé un projet similaire WebGoat qui est viable depuis quelques temps deja et qui je pense le fait mieux que Google.
    Cela m'attriste un peu pour eux que Google récupère les lauriers de ce genre d'initiative.
    Au contraire c'est le moment d'en profiter pour faire connaitre des initiatives "concurrentes" en utilisant la renommée de google pour faire spotlight...

    Car au final les gens qui découvrent avec google, sont probablement des personnes qui ne se seraient pas rendues sur un site tels que owasp, ou tout autre version amateur, car ils n'avaient même pas conscience de ce genre d'initiative.

    Pour ceux qui connaissent déjà owasp, ou qui aurait participer et réussi leurs tests, ils retrouvent ici un semblant de réchauffer, déjà vu.
    De ce point de vu, il n'y a pas de lauriers pour google.

    fin bref c'est de la com tout ça.

    Moi ce que j'en note, finalement, c'est qu'il n'y a pas de liens pour découvrir l'initiative d'owasp dans ton post.

    A plus

  5. #5
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2006
    Messages
    1 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2006
    Messages : 1 486
    Points : 2 440
    Points
    2 440
    Par défaut
    Très bonne initiative ce jeux
    pour ce que ça intéresse, il existe aussi l'application web Damn Vulnerable Web App

  6. #6
    Membre confirmé Avatar de Gunny
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Danemark

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Avril 2007
    Messages : 190
    Points : 639
    Points
    639
    Par défaut
    Par contre, c'est moi ou l'article fait une confusion entre white/black box et hat ?

    White ou black box désigne le fait que l'on a accès ou non au code source, pas les intentions du hacker (qui se reconnaissent à la couleur du chapeau).

  7. #7
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut
    Citation Envoyé par Gunny Voir le message
    Par contre, c'est moi ou l'article fait une confusion entre white/black box et hat ?

    White ou black box désigne le fait que l'on a accès ou non au code source, pas les intentions du hacker (qui se reconnaissent à la couleur du chapeau).
    Salut,

    Ce sont les développeurs du Codelab eux-mêmes qui lient les deux.

    Si tu attaques, t'as pas accès au code source. Donc black hat => utilisation black box.

    Inversement si tu défends, c'est que tu es du coté de ceux qui ont l'appli. Et logiquement tu as donc accès au code. Donc White Hat => utilisation White Box.

    Cordialement,

    Gordon

Discussions similaires

  1. Réponses: 0
    Dernier message: 02/11/2014, 00h12
  2. Apple veut traquer les utilisateurs dans leur propre maison
    Par Hinault Romaric dans le forum Actualités
    Réponses: 29
    Dernier message: 15/11/2013, 14h00
  3. Réponses: 5
    Dernier message: 11/09/2007, 17h04
  4. [Threads]Comment les organiser pour un jeu du serpent ?
    Par Pill_S dans le forum Algorithmes et structures de données
    Réponses: 12
    Dernier message: 11/05/2004, 16h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo