J. M. - A. B. - G. H.
Sécurité des applications web - Vincent Mazenod - 15 octobre 2024
Démonstrations
Présentation des failles et des risques
Mesures de protection
Accès à des ressources sensibles
Lire - Exécuter - Modifier des fichiers critiques
Compromet l'intégrité, la confidentialité et la disponibilité des données
Modification du Siret pour toutes les autres conventions de stage
Augmente la surface d'attaque
Mauvais ports ouverts sur Internet
Plus de failles présentes - Gestion des vulnérabilités plus complexe
Configuration par défaut connues des attaquants
Pénétration du système facilitée
Expose des privilèges administratifs non nécessaires
Non modification des identifiants par défaut
Plus de 27 000 bases de données MongoDB exposées sur Internet
/!\ Pas de password admin /!\
Possible divulgation d'informations sensibles sur la structure du système
Connaissances des technos, des chemins de fichiers
Affichage de message d'erreur trop précis à l'utilisateur
Mauvaise gestion des exceptions
Mot de passe trop faible facilement compromis
Attaque par bruteforce / dictionnaire
Potentielle fuite des ID admin ou utilisateurs
Vulnérabilités connues non corrigées (CVE)
Exécution de code distant - Bypass des permissions - Chiffrement daté
Utilisation d'exploits disponibles publiquement compromettant les systèmes
/etc/shadow