Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 15-07-2013 01:50:56

warfares
Membre Hyperactif
Inscription : 01-04-2013
Messages : 52

PHP, et la sécurité des sessions

bonjour,
je fait actuellement un petit site, et j'utilise pour l'identification les sessions de PHP.
un petit soup de wireshark, et on les transiter voit en clair.

J'ai vu certains sites qui conseillaient d'ajouter aux sessions les cookies, pour des mesures de sécurité et je dois dire que je ne comprend pas trop en quoi cela serait une mesure de protection supplémentaire.

Je me demande donc, si à part le https il y avait d'autres mesures de protection à prendre, afin d'éviter toute tentative d'usurpation.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 03-10-2013 19:25:16

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : PHP, et la sécurité des sessions

Salut smile

En fait, il est faudrait sécuriser au niveau de l'application web, car il est possible de voler les cookies via des attaques XSS (dans le cas ou le site présente des vulnérabilités de ce type) voir aussi par prédiction.

Mais en réalité dans ton cas, il ne faut pas se leurrer non plus en croyant y remédier contre ce genre de faille. Si un attaquant se trouve sur le même LAN que l'utilisateur et peut donc intercepter les communications (wireshark, etc) comme tu dis, c'est déjà une faille béante ! il peut tout simplement faire des attaques par rejeu en forgent des requêtes vers le site et ainsi voler la session de l'utilisateur, et en plus, il peut aussi attaquer le site sous l'identité de cet l'utilisateur (CSRF). Tu peux tester les différentes méthodes utilisées pour le suivi de session avec une durée de vie brève des cookies, insertion de hash, referer de page en page, etc... mais tout le problème réside sur le fait qu'un attaquant se trouve déjà sur le même réseau local que la victime, et c'est par là qu'il faut commencer par sécuriser. Car dans la logique de la sécurisation d'un site web, on part du principe qu'un pirate ne puisse pas atteindre un utilisateur légitime par injection XSS ou autre code, filtrage, etc... sans laisser non plus traîner les adresse e-mail sur le site également. On ne considère pas que cet utilisateur légitime amène avec lui un pirate collé sur son dos comme un démon, c'est pas de la faute du site s'il s'est fait piquer son mdp ou sa session. Car le serveur est incapable de savoir avec une adresse IP unique de qui derrière un routeur est l'utilisateur légitime, c'est pour ça qu'il y a toute cette panoplie pour identifier un utilisateur, mais on sait de quoi est capable un attaquant sur le LAN, en étant chevronné et jouant avec plus de 300 outils BT, c'est ici qu'il faut commencer par balayer.

Tu peux en revanche masquer les login/mdp grâce à un formulaire faisant appel à des fonctions Javascript, ça a au moins le mérite de ne pas connaitre le mdp (cas des hotspot open aussi) car dans la majeur partie des cas, les internautes utilisent le même mot de passe pour plusieurs de leurs applications web.
--> Protéger son formulaire de login avec Javascript et PHP.

Tu peux essayer également de mettre en place du SSL (HTTPS) avec ou sans certificat s'il s'agit d'un petit site juste histoire de crypter les communications, le navigateur va warning'er mais l'essentiel est que ça ne transite pas en claire.
Pour info --> Auto-signer son certificat [wiki-korben].

Si tu es l'administrateur et que tu n'es pas le seul sur le réseau local, tu peux dans ce cas changer de réseau, mettre en place un tunnel VPN, regarde aussi le tuto d'antares145 sur le site de noireande La vache libre
--> Tutoriel tunnel SSH

Dernière modification par Fuji (20-03-2015 02:31:39)

Hors Ligne

#3 05-10-2013 15:17:39

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : PHP, et la sécurité des sessions

warfares a écrit :

Je me demande donc, si à part le https il y avait d'autres mesures de protection à prendre, afin d'éviter toute tentative d'usurpation.

C'est déja beaucoup d'exploits out, en https, en théorie...

   multi/http/lcms_php_exec                                       2011-03-03       excellent  LotusCMS 3.0 eval() Remote Command Execution
   multi/http/php_cgi_arg_injection                               2012-05-03       excellent  PHP CGI Argument Injection
   multi/http/php_volunteer_upload_exec                           2012-05-28       excellent  PHP Volunteer Management System v1.0.2 Arbitrary File Upload Vulnerability
   multi/http/phpldapadmin_query_engine                           2011-10-24       excellent  phpLDAPadmin <= 1.2.1.1 (query_engine) Remote PHP Code Injection
   multi/http/phpmyadmin_3522_backdoor                            2012-09-25       normal     phpMyAdmin 3.5.2.2 server_sync.php Backdoor
   multi/http/phpmyadmin_preg_replace                             2013-04-25       excellent  phpMyAdmin Authenticated Remote Code Execution via preg_replace()
   multi/http/phpscheduleit_start_date                            2008-10-01       excellent  phpScheduleIt PHP reserve.php start_date Parameter Arbitrary Code Injection
   multi/http/phptax_exec                                         2012-10-08       excellent  PhpTax pfilez Parameter Exec Remote Code Injection
   multi/http/pmwiki_pagelist                                     2011-11-09       excellent  PmWiki <= 2.2.34 pagelist.php Remote PHP Code Injection Exploit
   multi/http/polarcms_upload_exec                                2012-01-21       excellent  PolarBear CMS PHP File Upload Vulnerability
   multi/http/qdpm_upload_exec                                    2012-06-14       excellent  qdPM v7 Arbitrary PHP File Upload Vulnerability
   

A vérifier quand même...

   php/bind_perl                                                     normal  PHP Command Shell, Bind TCP (via Perl)
   php/bind_perl_ipv6                                                normal  PHP Command Shell, Bind TCP (via perl) IPv6
   php/bind_php                                                      normal  PHP Command Shell, Bind TCP (via PHP)
   php/bind_php_ipv6                                                 normal  PHP Command Shell, Bind TCP (via php) IPv6
   php/download_exec                                                 normal  PHP Executable Download and Execute
   php/exec                                                          normal  PHP Execute Command 
   php/meterpreter/bind_tcp                                          normal  PHP Meterpreter, Bind TCP Stager
   php/meterpreter/bind_tcp_ipv6                                     normal  PHP Meterpreter, Bind TCP Stager IPv6
   php/meterpreter/reverse_tcp                                       normal  PHP Meterpreter, PHP Reverse TCP Stager
   php/meterpreter_reverse_tcp                                       normal  PHP Meterpreter, Reverse TCP Inline
   php/reverse_perl                                                  normal  PHP Command, Double reverse TCP                
   php/reverse_php                                                   normal  PHP Command Shell, Reverse TCP (via PHP)
   php/shell_findsock   

Dernière modification par JeanCharles (05-10-2013 16:34:19)


« γνωθι σεαυτον »

Hors Ligne

#4 07-11-2013 22:10:56

warfares
Membre Hyperactif
Inscription : 01-04-2013
Messages : 52

Re : PHP, et la sécurité des sessions

désolé du retard je n'avais pas vu, mais merci beaucoup, particulièrement le tunnel ssh !
et oui pour la sécurisation de l'appli web ( xss,CSRF, inclusion etc.. ) de ce côté pas de problèmes car il s'agit d'un truc perso d'administration à distance et tout à été bien "checké".

Hors Ligne

#5 12-03-2015 08:07:21

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : PHP, et la sécurité des sessions

Désolé de détérrer ce sujet, bref je me demander juste si un ou deux ou trois cookies big_smile, bien hashés dans tout les sens avec un peu de sel et de la mayo big_smile, s'appuyant sur une variable $_SERVER['REMOTE_ADDR'] (soit une ip) par exemple pour être inutilisable sur un autre pc, pouvaient rivaliser avec une session php voir la remplacer Niveau SECURITE je parle?? biensur si vous avez des idées pour améliorer la sécurité d'un cookie vos avis m'interresse.

[edit]

Fuji a écrit :

Salut smile
Si un attaquant se trouve sur le même LAN que l'utilisateur et peut donc intercepter les communications (wireshark, etc) comme tu dis, c'est déjà une faille béante ! il peut tout simplement faire des attaques par rejeu en forgent des requêtes vers le site et ainsi voler la session de l'utilisateur, et en plus, il peut aussi attaquer le site sous l'identité de cet l'utilisateur (CSRF). Tu peux tester les différentes méthodes utilisées pour le suivi de session avec une durée de vie brève des cookies, insertion de hash, referer de page en page, etc... mais tout le problème réside sur le fait qu'un attaquant se trouve déjà sur le même réseau local que la victime, et c'est par là qu'il faut commencer par sécuriser.

Alors...
charlie est dans un cyber café il va sur amazon commander un cd de patrick bruel, par exemple...
mais à coté il y à un méchant pirate qui s'appel fuji qui a installé des servers sur tout les pc du cyber-café, il s'apprete a lui dérober tout ses cookies et commander des kalashnikovs d'un instant à l'autre, avec la carte de charlie...
Comment on fait les gars??? Cest vraiment rêgler avec ssh?? cest sur??

MDRRR je >>>

[re-edit]
Bon après quelques recherche il me semble qu'il est très très difficile d'usurper un socket ssh pour un attaquant, mais pas impossible, je vais plancher dessus du coup pour amélioré la securité d'une connection/authentification.

Dernière modification par JeanCharles (12-03-2015 11:10:24)


« γνωθι σεαυτον »

Hors Ligne

#6 12-03-2015 16:48:30

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : PHP, et la sécurité des sessions

Si ce n'est pas pour acheter des cd de patrick bruel c'est OK sinon on ferme le topic big_smile

Hors Ligne

#7 13-03-2015 04:09:25

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : PHP, et la sécurité des sessions

warfares a écrit :

un petit coup de wireshark, et on les transiter voit en clair.

Je n'avais pas percuter à quel point c'était un film d'horreur avant vérif.
Hash ou pas hash, cookies et sessions...C'est vraiment zéro niveau sécu dans le cas de figure ou un attaquant sur le meme lan s'amuse avec wireshark.
Bonne chance...

A vrai dire avec ssh, je nai pas encore tester, j'éspère que ça regle ce soucis déja,
Et personellement si tu doutes de mes intentions @kcdtv, je suis dans le meme cas que warfares/YAZ (avec du retard lol).

[edit]
Je ne sais pourquoi je m'emme**e avec ces tunnels ssh, une connection HTTPS reglerais ce soucis de transite en clair, enfin bref, pas évidant de faire les choses correctements quand on traine par ici MDRR

Dernière modification par JeanCharles (13-03-2015 06:44:15)


« γνωθι σεαυτον »

Hors Ligne

#8 20-03-2015 02:30:03

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : PHP, et la sécurité des sessions

Tiens, à chaque fois qu'il s'évade de Sainte-Anne il vient directement ici lui !

Alors attend, si t'as déjà "backdooré" un PC, son propriétaire n'a aucune chance de s'en échapper ! pas besoin de piquer les cookies tu peux même avoir les mots de passe pour te connecter à sa place, Meterpreter par exemple est très doué pour faire ça.

En revanche lors d'une écoute passive d'un réseau les choses sont un peu délicates, dans le cas d'un réseau WPA et même connaissant la clé, il n'est pas possible de décrypter le trafic entre une station et son AP avec Wireshark sans connaitre son handshake à elle --> sniffer réseau WPA avec Wireshark

Le mieux c'est de prendre un VPN, Il y a les VPN gratuits en tout genre pas vraiment performants lorsqu'il s'agit de les utiliser à longueur de journée mais disons que c'est suffisant pour s'authentifier auprès d'un serveur lorsqu'on est dans une gare ou dans un cyber-café par exemple, voir celui-la aussi qu'est ce qui peut faire --> NoLimitVPN [korben]
Tu peux tenter d'utiliser un VPN avec un serveur VPS perso moyennant quelques sous, sans aller chez les nombreux prestataires payants qui proposent ce service, Korben en parle ici --> Comment s’installer un petit VPN maison quand on n’est pas un gros barbu [korben]

Hors Ligne

#9 20-03-2015 15:57:41

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : PHP, et la sécurité des sessions

Fuji a écrit :

Alors attend, si t'as déjà "backdooré" un PC, son propriétaire n'a aucune chance de s'en échapper ! pas besoin de piquer les cookies tu peux même avoir les mots de passe pour te connecter à sa place, Meterpreter par exemple est très doué pour faire ça.

Sérieux? il y a un keylogger dans meterpreter? big_smile (c'est la fatigue dsl, on vas oublier 5min metasploit, sinon cest plus possible...)
je partais plutot du principe de rendre un/des cookies valables sur une seule "ip privée" (en plus de l'ip public) lors d'une connection pour "un utilisateur", et donc déja dans un premier temps "éviter"ce genre de vol de cookies (donc les rendre obsolètes). Mais bon c'est pas encore ça...

Fuji a écrit :

En revanche lors d'une écoute passive d'un réseau les choses sont un peu délicates, dans le cas d'un réseau WPA et même connaissant la clé, il n'est pas possible de décrypter le trafic entre une station et son AP avec Wireshark sans connaitre son handshake à elle --> sniffer réseau WPA avec Wireshark

(on vas oublier 5min wireshark aussi, sinon je vais finir au troisieme étage, aux soins intensifs...)
Les seules testes que j'ai fait en https://localhost me rassures pas du tout... roll
Même avec des requetes "mysql ssl", ça passe en clair.
niveau tunnel ssh, vpn, etc, c'est juste pour l'administration du site à distance, donc ça ne repond pas a la question des connections/utilisateurs.

Merci pour tes pistes.


« γνωθι σεαυτον »

Hors Ligne

#10 03-04-2015 19:29:08

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : PHP, et la sécurité des sessions

Ah mais je ne mets pas en doute tes connaissances sur le sujet, hein big_smile mais c'est toi qui parle de piéger un ordi avec un malware, et moi je dis tout simplement que là on est à un niveau supérieur dans la pénétration du système et les cookies passent au second plan. Et puis je ne faisais en aucun cas allusion au keylogger ! admettons que tu arrives après que la victime s'est identifiée sur son application, ou bien après qu'elle s'est déconnectée, il va servir à rien le keylogger dans ce cas, et il est fort possible que son navigateur le fait automatiquement pour elle.

Dernière modification par Fuji (03-04-2015 19:31:51)

Hors Ligne

#11 05-04-2015 11:04:19

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : PHP, et la sécurité des sessions

Fuji a écrit :

Ah mais je ne mets pas en doute tes connaissances sur le sujet, hein big_smile mais c'est toi qui parle de piéger un ordi avec un malware

Ah mais pas du tout, il était tard (8h du mat) et j'étais comme un fou aprés avoir réussi à m'amuser avec AJAX sur mon tchat php/mysql . Du coup, je pensais à la sécurité de mes users, en me préparant au pire pour la prochaine fois.

Fuji a écrit :

moi je dis tout simplement que là on est à un niveau supérieur dans la pénétration du système et les cookies passent au second plan.

Exactement! et justement le sujet cest "PHP, et la sécurité des sessions" donc revenons au sujet, pour moi "une session php" ce n'est rien d'autre qu'un cookie avec une suite aléatoire alphanumérique "à la base" en guise d'identifiant, je n'ai même pas essayer, mais je suis pratiquement sur que si on désactive le stockage des cookies dans son navigateur...il sera impossible de démarrer une session php...peut-etre je me trompe (surement comme d'hab big_smile) Mais bon, je ne sais pas pourquoi mais je préfère utiliser seulement mes setcookie('','') et mes if($_COOKIE['']) pour les identifications des users pour l'instant. Un avis la deçu?


« γνωθι σεαυτον »

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
8 493 30-08-2016 15:44:07 par kcdtv
2 375 08-08-2016 22:49:22 par Olympe
4 536 15-04-2016 20:34:05 par M1ck3y
0 584 15-12-2015 09:54:38 par albin
7 977 12-11-2015 16:07:39 par Seska

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.027 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]