Pourriez-vous battre les hackers à leur propre jeu ?
Une mise en situation sur Google Code vous permet de le savoir

Le , par Gordon Fowler, Expert éminent sénior
« Vous voulez battre les hackers à leur propre jeu ? »

Notre attention a été attirée deux fois par ce défi singulier (merci à Ricky81 – responsable rubrique Java, et valkirys). Un défi qui consiste, en substance, à faire par vous même votre propre Pwn2Own depuis chez vous.

L'exercice vient d'être mis en ligne sur la Google Code University. Il s'agit en fait une démonstration pour « apprendre comment les hackers trouvent les vulnérabilités, comment les hackers exploitent les applications webs », et surtout « comment les stopper ».

Comme il est bien connu que c'est en forgeant que l'on devient forgeron, les trois auteurs (Bruce Leban, Mugdha Bendre, et Parisa Tabriz) de ce « Codelab » vous proposent donc de mettre les mains dans le cambouis.

Nos trois développeurs ont donc imaginé une application que vous allez devoir maltraiter.

« Le meilleur moyen d'apprendre, c'est de faire les choses. Vous aurez donc la possibilité d'effectuer des vrais tests d'intrusions, et d'exploiter une vraie application ».

Au menu, mise en pratique du Cross-Site Scripting (XSS) ou de son dérivé lointain le Cross-Site Request Forgery (XSRF).

Mais le but n'étant pas de devenir un pirate, les différents défis sont bien évidemment orientés pour apprendre à « trouver, résoudre et éviter les vulnérabilités classiques et les autres bugs qui ont des conséquences sur la sécurité, telles que les dénis de service (DOS) […] ou l'exécution d'un code à distance ». Il ne s'agit donc pas d'un manuel pour sombrer du côté obscur de la force.

La malheureuse application à attaquer se nomme Jarlsberg.

Elle possède (volontairement) de nombreuses failles. « Votre job consistera à jouer le rôle d'un hacker (sic) malicieux pour trouver et exploiter ces failles ».

Trois types de défis sont proposés.

Dans les défis de type black box hacking, vous jouerez un pirate « en manipulant les champs de saisie et les paramètres URL, pour essayer de provoquer des erreurs et […] observer comment le serveur réagit ».
Dans ce type d'attaque vous n'aurez pas accès au code source de Jarlsberg.

Dans les défis de type white-box hacking (où vous endosserez le rôle du gentil défenseur), vous pourrez en revanche le consulter.

Le troisième type de mise en situation mélange black et white box hacking.

Jarlsberg est codé en Python. Ses auteurs précisent donc que quelques connaissances sur le langage peuvent aider mais qu'elles ne sont absolument pas indispensables pour apprécier ce Codelab.

Au final, un bon exercice qui vaut le détour.

Et surtout un vrai test de connaissances pour tous les développeurs qui s'intéressent un tant soit peu à la sécurité de leurs applis.

Le Web Application Exploits and Defenses de Bruce Leban, Mugdha Bendre, et Parisa Tabriz se trouve ici.

Lire aussi :

26 % des hackers préfèrent utiliser Opera : pourquoi ?
Les kits de piratage « tout-en-un » démocratiseraient la cyber-criminalité

Le Cigref et l'Inhesj ouvrent une formation en sécurité informatique, des études sont-elles nécessaires dans cette spécialité ?

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Python
HTML
AJAX
Développement Web

Et vous ?

Que pensez-vous de cette mise en situation ? Vous a-t-elle appris quelque chose ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kaymak kaymak - Membre chevronné https://www.developpez.com
le 06/05/2010 à 14:50
+10, ce sont toujours des jeux intéressants, mais là c'est packagé, bien présenté, téléchargeable, modifiable, et gratuit !!
Bref ce n'est que du bon.

On regrette par contre que les réponses soient incluses dans la présentation !!
Avatar de shenril shenril - Membre à l'essai https://www.developpez.com
le 06/05/2010 à 14:52
Vu que je travaille dans la sécurité informatique je ne peux que féliciter ce genre d'initiative mais je me demande pourquoi c'est google qu'on félicite pour cette idée!
Un groupe qui fournit des logiciels open-source depuis des années, OWASP, a dévéloppé un projet similaire WebGoat qui est viable depuis quelques temps deja et qui je pense le fait mieux que Google.
Cela m'attriste un peu pour eux que Google récupère les lauriers de ce genre d'initiative.
* J'ai rajouté le lien
Avatar de kaymak kaymak - Membre chevronné https://www.developpez.com
le 06/05/2010 à 15:49
Citation Envoyé par shenril  Voir le message
Vu que je travaille dans la sécurité informatique je ne peux que féliciter ce genre d'initiative mais je me demande pourquoi c'est google qu'on félicite pour cette idée!
Un groupe qui fournit des logiciels open-source depuis des années, OWASP, a dévéloppé un projet similaire WebGoat qui est viable depuis quelques temps deja et qui je pense le fait mieux que Google.
Cela m'attriste un peu pour eux que Google récupère les lauriers de ce genre d'initiative.

Au contraire c'est le moment d'en profiter pour faire connaitre des initiatives "concurrentes" en utilisant la renommée de google pour faire spotlight...

Car au final les gens qui découvrent avec google, sont probablement des personnes qui ne se seraient pas rendues sur un site tels que owasp, ou tout autre version amateur, car ils n'avaient même pas conscience de ce genre d'initiative.

Pour ceux qui connaissent déjà owasp, ou qui aurait participer et réussi leurs tests, ils retrouvent ici un semblant de réchauffer, déjà vu.
De ce point de vu, il n'y a pas de lauriers pour google.

fin bref c'est de la com tout ça.

Moi ce que j'en note, finalement, c'est qu'il n'y a pas de liens pour découvrir l'initiative d'owasp dans ton post.

A plus
Avatar de pi-2r pi-2r - Rédacteur https://www.developpez.com
le 07/05/2010 à 8:05
Très bonne initiative ce jeux
pour ce que ça intéresse, il existe aussi l'application web Damn Vulnerable Web App
Avatar de Gunny Gunny - Membre averti https://www.developpez.com
le 07/05/2010 à 9:16
Par contre, c'est moi ou l'article fait une confusion entre white/black box et hat ?

White ou black box désigne le fait que l'on a accès ou non au code source, pas les intentions du hacker (qui se reconnaissent à la couleur du chapeau).
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 07/05/2010 à 16:34
Citation Envoyé par Gunny  Voir le message
Par contre, c'est moi ou l'article fait une confusion entre white/black box et hat ?

White ou black box désigne le fait que l'on a accès ou non au code source, pas les intentions du hacker (qui se reconnaissent à la couleur du chapeau).

Salut,

Ce sont les développeurs du Codelab eux-mêmes qui lient les deux.

Si tu attaques, t'as pas accès au code source. Donc black hat => utilisation black box.

Inversement si tu défends, c'est que tu es du coté de ceux qui ont l'appli. Et logiquement tu as donc accès au code. Donc White Hat => utilisation White Box.

Cordialement,

Gordon
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil