SSTIC07_Feil_chiffrement_Web_HTTP(1).pdf

(179 KB) Pobierz

HERVÉ SCHAUER CONSULTANTS

Cabinet de Consultants en Sécurité Informatique

depuis 1989

Spécialisé sur Unix, Windows, TCP/IP et Internet

Chiffrement de contenu Web hostile over

HTTP

SSTIC – Rump Session

31 mai 2007

Renaud Feil

renaud.feil@hsc.fr>

Souviens-toi l'été dernier... à

Rennes

Présentation « Vulnérabilité des postes clients » :

Démonstration d'un outil d'attaque automatisée des

applications clientes, en particulier le navigateur Web.

Parmi les recommandations :

Inspection des pages Web HTTP avant leur entrée sur le réseau

interne (IPS disposant d'un module d'inspection spécifique, ou

autre outil comme

http://search.finjan.com/search).

Restriction selon un mode liste blanche des sites accédés en

HTTPS, car le chiffrement ne permet pas d'inspecter le contenu.

2/6

Quelle efficacité pour l'analyse de

contenu Web ?

Le Javascript permet de dissimuler le contenu Web

pour échapper à l'inspection :

Démonstration dans MISC 28 : utilisation de la propriété

navigator.userAgent

pour déchiffrer un document HTML sur

le client.

Limite : Cette propriété pourrait être connue et utilisée

par un outil d'analyse de contenu Web.

3/6

Les limites des outils d'analyse

Utilisation d'une clé de déchiffrement connue du

navigateur, mais pas de l'outil d'analyse de contenu

Web :

Exemple : clé construite à partir de tests de parsing sur des

balises HTML mal formées (dépend de l'implémentation du

navigateur Web).

4/6

Démonstration sur Firefox 2.0

5/6

Plik z chomika:

musli_com

Inne pliki z tego folderu:

3A(1).pdf (343 KB)
A Closer Look At Ethical Hacking And Hackers(1).pdf (83 KB)
A Practical Fault Attack on Square and Multiply(1).pdf (366 KB)
A Primer on Scientific Programming with Python (2009)(1).pdf (6983 KB)
A+(2).zip (9992 KB)

SSTIC07_Feil_chiffrement_Web_HTTP(1).pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: