J’ai déjà fait un billet sur la sécurité en php, avec un lien vers un pdf qui présentait les principaux points d’attaques qu’un pirate pouvait faire afin d’abuser du site web. Le document était long mais celui que je vous présente aujourd’hui est beaucoup plus court, moins complet, mais présente, avec exemples, des manières originales d’utiliser les techniques vues dans le pdf que je vous ai présenté. On peut y voir par exemple, une injection xss via le url présent afin de tromper la variable PHP_SELF.
Si vous avez un petit deux minutes, ca vaut la peine!
Voir l’article
Voir le pdf original

Je suis tombé par hasard sur un petit guide pour développeur sur la sécurité en PHP. Il parle des problèmes de sécurité les plus courants et explique clairement les manières les plus simples de les régler. L’article contient 14 pages et il est possible de le télécharger en pdf.

L’article sur PHPFreaks.

Bonne lecture!

Je parlais tout récemment avec ma mère qui était un peu inquiète des nouvelles cartes (Opus) qui seront désormais la norme dans les systèmes en commun dans la grande région métropolitaine. Je lui disait que j’étais persuadé que d’ici quelque semaines, nous pourrions retrouver sur le marché des cartes clonées et modifiées.

Je dois avouer que je n’ai pas vu dans les journeaux des nouvelles étant reliées aux cartes du métro ayant été clonées ou piratées. Par contre, aux États-Unis, une équipe de trois étudiants du MIT ont décidés de pirater le métro de Boston et d’en faire une présentation au DEF-CON (un congrès pour professionnel).

Un juge fédéral a obligé les étudiants a annulé leur présentation parce que leur présentation présentait trop de vulnérabilité des métros et pouvaient éventuellement aider les téroristes.

Leur présentation a été annulée au congrès mais leur présentation en format pdf circule de plein gré sur Internet. Celle-ci explique comment se procurer l’équipement nécessaire (par e-bay), présice les stations du métro de Boston qui sont les plus propice à différent type d’attaque, comment lire les cartes qui sont similaires à ceux qu’on utilise ici, comment les remplir, les cloner, bref tout ce qu’un bon pirate doit savoir.

C’est un peu dommage pour les trois étudiants, le gouvernement aurait pus voir leur recherches d’une autre manière. Par exemple, le gouvernement aurait pus utiliser leurs recherches pour améliorer leur sécurité mais c’est évident que c’est plus facile de faire taire 3 étudiants.

Grâce à leur recherches, nous allons probablement voir très bientôt dans le journal que la carte Opus a été piratée…

Dans certaines occasions, en tant que programmeur, nous sommes tenus de faire des « validations de champ ». Par exemple, lorsqu’il y a un champ « courriel :  » nous devons vérifier que les données entrées soient vraiment un courriel. Les données doivent être de format « lettre(s)+@+lettres+extension (.com, .ca, etc.) ».

À la demande du client, des validations supplémentaires peuvent être fait sur d’autres champs, par exemple le nom d’usager, le nom et le prénom du personne, etc.

Des compagnies, disont comme Verizon qui est un fournisseur d’accès internet aux États-Unis, demande des vérifications dans le nom et le prénom des clients lors de leur inscription afin de pouvoir éviter des demandes « bidons » qui pourraient être le résultat de jeunes adolescents qui avaient rien d’autre à faire ou encore des mauvais employés qui s’amuseraient à changer le nom des clients.

Verizon, dans ce cas bien précis, vérifie le nom de famille des nouveaux clients, autant à l’interne qu’en ligne.

Après cette bonne explication qui était peut-être un peu trop longue, je vais maintenant vous parler du problème du Dr. Herman I. Libshitz.

Monsieur Libshitz voulait s’abonner à Verizon pour avoir un accès internet à haute vitesse. Comme vous l’avez probablement déjà devinné, à cause de son nom « Libshitz » qui contient le mot « shit », il a eu beaucoup de difficultés à s’abonner.

Un autre problème qui a joué contre Verizon, c’est que leurs applications sont programmés en Inde. Donc pour une modification aussi petite que celle-ci, sa plainte devait passer par plusieurs niveaux hierarchiques avant d’être envoyée aux gestionnaires en Inde. En théorie, et je l’espère pour Verizon, ils avaient un accès direct à leur base de données et l’entrée aurait probablement put être mise à la main, dépendamment de la complexité de leur système.

Tout ça pour dire finalement que, oui la validation est importante, mais c’est vraiment important de bien cibler les endroits où elle doit être activée afin d’éviter des problèmes aux usagers et, dans ce cas-ci, aux employés.

L’image que vous voyez dans le coin est le logo de Verizon prise sur le site.
Cliquez ici pour avoir l’histoire du docteur Libshitz. Elle est racontée avec beaucoup « d’américanisme » du style : il a servit dans les forces armée avec ce nom, mais ça reste tout de même un bon article.

Voici un petit compte rendu de mes observations faites suite à la mise à l’essaie de quelques pare-feu.

Shorewall
Site web : www.shorewall.net
Frontend pour IPTables sur Linux. Shorewall nous amène le concepte de « zones ». Il se configure à l’aide du bon vieux fichier .conf.

Points forts :

• Très flexible
• Concepte de zones intéressants
• Demande peu de ressources (486 minimum)

Points faibles :

• Facile de s’y perdre au début

m0n0wall
Site web : m0n0.ch
Solution minimalistique, mais efficace. m0n0 fonctionne avec pf sous FreeBSD.

Points forts :

• Très petit!
• Demande peu de ressources (P1 minimum)
• Fichier de conf XML

Points faibles :

• Pas d’option évoluée

pfSense
Site web : http://www.pfsense.org
Semblable à m0n0wall (aussi sur BSD), mais avec plus d’options. Possibilité de faire du load balancing et du traffic shaping. Disponible sou forme de ISO qu’on installe directement sur une machine comme un système d’exploitation. Permet de créer 3 types de VPN.

Points forts :

• Interface graphique impécable
• Demande moyennement peu de ressource (P2 minimum)
• Installation facile

Points faibles :

• Impossible de faire du multi-wan avec une connexion PPPOe

Untangle
Site web : www.untangle.com
Projet open source sur Linux mais commercial. Untangle offre une version gratuite qui n’a rien à envier au autre pare-feu. Solution très complète, mais malheureusement vous ne pourrez pas installer ce charmant logiciel sur votre vieu P1 ou P2 qui traîne dans votre garde-robe, car la configuration minimale est un processeur de 1000GHz (P3 minimum)

Points forts :

• Quantité abondante d’options
• Interface graphique très plaisante

Points faibles :

• Gourmand sur les ressources (P3 minimum)

Mon coup de coeur: pfSense pour le meilleur rapport simplicité/efficacité.