un site indiscret

A force de discuter à droite à gauche, il faut constater que beaucoup de sites Internet sont très indiscret.

Je vous propose ici une petite démonstration « grandeur nature » du problème posé par une configuration un peu « faible » d’un serveur comme Apache.

Au départ, nous avons une site web proposant une zone d’accès restreint sur authentification (un Intranet par exemple)

J’utiliserai ici IE comme client identifié (donc ayant accès au contenu secret et protégé) et Opéra representer un visiteur quelconque (sans droit sur le site).

Ma petite démonstration fonctionne quelque soit le navigateur! C’est juste parce que plus pratique pour moi.

En arrivant sur le site, tout le monde voit la même chose:

visiteur

Une fois identifié, nous voyons apparaître un nouvel article (appelé « article secret »)

identifie

On accède donc librement au l’article et aux fichiers joints qu’il contient

article-secret

 

Même si  notre visiteur ne peux pas accéder à l’article confidentiel, il n’a aucune difficulté à accès au document en remontant simplement les sous-dossiers de site.

Il tombe d’abord sur  la liste des fichiers du répertoire courant

liste

 

Il n’a plus qu’à choisir le fichier pour l’ouvrir simplement ou le télécharger…

acces-au-fichier

Bien entendu, ce visiteur lambda peut être le robot de Google et votre super fichier secret devient très largement accessible avec encore moins d’effort.

Avec un simple de réglage du serveur, on interdit tout bêtement le parcours des dossiers et le visiteur indiscret trouve au minimum un message d’erreur.

acces-403

Si votre administrateur est un semi Dieu (s’il a ouvert un jour les howtos d’Apache), il saura rediriger ces erreurs vers soit votre page d’accueil soit un formulaire  destiné à l’informer du problème.

Sachez aussi qu’en cherchant si votre site comporte une page toto permet très souvent de récupérer la version de votre serveur et son système d’exploitation. (essayez l’adresse votresite.com/toto)

Fort de ces éléments il suffit de compulser les bases de vulnérabilités connus pour trouver des failles exploitables.

Si vous êtes dans le cas de figure que je décris ici virer votre administrateur ou votre prestataire! Etant à la recherche d’un emploi,  je me ferai un devoir de sécuriser votre site et votre parc. 😉

Merci à l’association CapSudOuest de m’avoir permis d’utiliser son site pour ma démonstration

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.