Pourriez-vous battre les hackers à leur propre jeu ?
Une mise en situation sur GoogleCode vous permet de le savoir
« Vous voulez battre les hackers à leur propre jeu ? »
Notre attention a été attirée deux fois par ce défi singulier (merci à Ricky81 – responsable rubrique Java, et valkirys). Un défi qui consiste, en substance, à faire par vous même votre propre Pwn2Own depuis chez vous.
L'exercice vient d'être mis en ligne sur la Google Code University. Il s'agit en fait une démonstration pour « apprendre comment les hackers trouvent les vulnérabilités, comment les hackers exploitent les applications webs », et surtout « comment les stopper ».
Comme il est bien connu que c'est en forgeant que l'on devient forgeron, les trois auteurs (Bruce Leban, Mugdha Bendre, et Parisa Tabriz) de ce « Codelab » vous proposent donc de mettre les mains dans le cambouis.
Nos trois développeurs ont donc imaginé une application que vous allez devoir maltraiter.
« Le meilleur moyen d'apprendre, c'est de faire les choses. Vous aurez donc la possibilité d'effectuer des vrais tests d'intrusions, et d'exploiter une vraie application ».
Au menu, mise en pratique du Cross-Site Scripting (XSS) ou de son dérivé lointain le Cross-Site Request Forgery (XSRF).
Mais le but n'étant pas de devenir un pirate, les différents défis sont bien évidemment orientés pour apprendre à « trouver, résoudre et éviter les vulnérabilités classiques et les autres bugs qui ont des conséquences sur la sécurité, telles que les dénis de service (DOS) […] ou l'exécution d'un code à distance ». Il ne s'agit donc pas d'un manuel pour sombrer du côté obscur de la force.
La malheureuse application à attaquer se nomme Jarlsberg.
Elle possède (volontairement) de nombreuses failles. « Votre job consistera à jouer le rôle d'un hacker (sic) malicieux pour trouver et exploiter ces failles ».
Trois types de défis sont proposés.
Dans les défis de type black box hacking, vous jouerez un pirate « en manipulant les champs de saisie et les paramètres URL, pour essayer de provoquer des erreurs et […] observer comment le serveur réagit ».
Dans ce type d'attaque vous n'aurez pas accès au code source de Jarlsberg.
Dans les défis de type white-box hacking (où vous endosserez le rôle du gentil défenseur), vous pourrez en revanche le consulter.
Le troisième type de mise en situation mélange black et white box hacking.
Jarlsberg est codé en Python. Ses auteurs précisent donc que quelques connaissances sur le langage peuvent aider mais qu'elles ne sont absolument pas indispensables pour apprécier ce Codelab.
Au final, un bon exercice qui vaut le détour.
Et surtout un vrai test de connaissances pour tous les développeurs qui s'intéressent un tant soit peu à la sécurité de leurs applis.
Le Web Application Exploits and Defenses de Bruce Leban, Mugdha Bendre, et Parisa Tabriz se trouve ici.
Lire aussi :
26 % des hackers préfèrent utiliser Opera : pourquoi ?
Les kits de piratage « tout-en-un » démocratiseraient la cyber-criminalité
Le Cigref et l'Inhesj ouvrent une formation en sécurité informatique, des études sont-elles nécessaires dans cette spécialité ?
Les rubriques (actu, forums, tutos) de Développez :
Sécurité
Python
HTML
AJAX
Développement Web
Et vous ?
Que pensez-vous de cette mise en situation ? Vous a-t-elle appris quelque chose ?
Partager