# Pentest Groupe Projet S7 --- Bastien COUTAND Elyes DAOUDI Enzo DENOUE Robin MARCHAND --- # Sommaire 1. Introduction 2. Mauvaises pratiques de code 3. Failles de sécurité 4. Conclusion # Introduction ## Contexte Dans cette partie, nous allons présenter un rapport de pentest sur le site Web d'un des groupes de projet. Le groupe est composé de 3 étudiants (Alexandre Quéré, Marc Bernard et Loïc De Haro). Nous avons essayé de synthétiser nos trouvailles dans ce rapport afin de vous aider à améliorer la sécurité de votre site Web. ## Objectifs L'objectif principal de ce rapport est de vous aider à améliorer la sécurité de votre site Web. Nous avons pu relever plusieurs failles de sécurité et mauvaises pratiques de code. ## Méthodologie Nous avons utilisé plusieurs outils / méthodes pour réaliser ces tests de pénétration et d'injection de code. Malgré le fait que le projet soit toujours au stade de développement, nous avons pu relever plusieurs choses à améliorer. ## Etat du site Web et premières observations Comme expliqué précédemment, le site Web est toujours en cours de développement. En effet, le site ne contient page de CAS (Central Authentication Service) et ne permet pas de se connecter de manière sécurisée. La gestion des droits n'est pas encore implémentée et le site Web ne tourne pas sur un serveur adéquat. Lors de la réception du projet par M. Quéré, nous avons récupéré le code source du site Web et les différentes dépendances. Ce dernier est composé de 5 fichiers HTML, 6 fichiers JS, 2 fichiers CSS, 1 fichier SQL et 1 fichier Python permettant de gérer cette base de données. # Mauvaises pratiques de code ## JavaScript ### admin_script.js Le fichier admin_script.js contient plusieurs fonctions permettant de gérer les différentes actions de l'administrateur. Nous n'avons pas pu tester toutes les fonctions car le site Web ne permet pas de se connecter en tant qu'administrateur. La gestion des droits n'étant pas encore implémentée, nous n'avons pas pu tester toutes les fonctions. ### lecteur_script.js Le fichier lecteur_script.js contient plusieurs fonctions permettant de gérer les différentes actions du lecteur. Le groupe a utilisé plusieurs fonctions et principe de base de JavaScript pour gérer les différentes actions du lecteur. Malheureusement, nous avons pu relevé plusieurs mauvaises pratiques de code, notamment dans l'utilisation de RegEx (Regular Expression). ```javascript const pattern = /^(\[0-2\])(\[0-9\])h(\[0-5\])(\[0-9\])-(\[0-2\])(\[0-9\])h(\[0-5\])(\[0-9\])$/; ``` Ici, le groupe a utilisé une RegEx pour vérifier le format de l'heure de début et de fin de la réservation. Malheureusement, cette RegEx n'est pas assez robuste et permet de passer des heures incorrectes. Ils auraient été plus judicieux d'utiliser une RegEx plus robuste comme celle-ci : ```javascript const pattern = /^(\[0-1\]\[0-9\]|2\[0-3\]):\[0-5\]\[0-9\]$/; ``` L'utilisation de \\d aurait été plus judicieux que d'utiliser \[0-9\]. ```javascript function heuresOK(heures, minutes) {. return (00 <= parseInt(heures) <= 23) && (00 <= parseInt(minutes) <= 59); } ``` Ici, le groupe a utilisé une fonction pour vérifier que les heures et les minutes sont correctes. L'utilisation de '00' n'est pas judicieuse, des octal literals sont utilisés en JavaScript. ```javascript function heuresOK(heures, minutes) { return (0 <= parseInt(heures) <= 23) && (0 <= parseInt(minutes) <= 59); } ``` ### superviseur_script.js Le fichier superviseur_script.js contient plusieurs fonctions permettant de gérer les différentes actions du superviseur. Comme précédemment, le groupe a utilisé la même RegEx pour vérifier le format de l'heure de début et de fin de la réservation. ```javascript const pattern = /^(\[0-2\])(\[0-9\])h(\[0-5\])(\[0-9\])-(\[0-2\])(\[0-9\])h(\[0-5\])(\[0-9\])$/; ``` La remédiation est la même que précédemment. La fonction de vérification des heures et des minutes est la même que précédemment. ```javascript function heuresOK(heures, minutes) { return (0 <= parseInt(heures) <= 23) && (0 <= parseInt(minutes) <= 59); } ``` La remédiation est la même que précédemment. ## Python ### script.py Le script Python permet de gérer la base de données. Des erreurs de syntaxe sont également présentes dans ce fichier. ```python cnx = MC.connect(host='localhost', database='projetS7', user='root', password='') ``` Ici, `password=''` est une grave erreur de sécurité. Il faut ajouter une notion de sécurité à cette base de données. Une remédiation possible serait d'utiliser un fichier de configuration pour stocker les informations de connexion à la base de données. Lorsque l'on utilise le mode d'authentification par mot de passe pour se connecter à la base de données, il faut choisir un mot de passe sécurisé. Nous pouvons proposer une solution : ```python import os DATABASES = { 'postgresql_db': { 'ENGINE': 'django.db.backends.postgresql', 'NAME': 'quickdb', 'USER': 'M58', 'PASSWORD': os.getenv('DB_PASSWORD'), 'HOST': 'localhost', 'PORT': '5432' } } ``` Puis pour appeler mysql.connector : ```python from mysql.connector import connection import os db_password = os.getenv('DB_PASSWORD') connection.MySQLConnection(host='localhost', user='M58', password=db_password) ``` Dans ce même script Python, l'utilisation de ```python print("{}, {}".format(a, b)) ``` est une mauvaise pratique de code. Il faut utiliser f-strings. ```python print(f"{a}, {b}") ``` de plus, ce print est appelé 4 fois dans le script. Il serait judicieux de créer une fonction ou une constante. ## HTML Nous avons également analysé les pages HTML du site Web. Même si des **vulnérabilités** dans des pages HTML sont rares, nous avons pu relever plusieurs mauvaises pratiques de code. ### Page_admin.html Il est important d'ajouter `"lang"` et/ou `"xml:lang"` à la balise html. Cela permet d'indiquer la langue de la page. ```html <html lang="fr"> ``` L'utilisation de ```html <table class="table table-striped table-sm"> ``` est incomplète. Il faut ajouter un attribut "summary" pour décrire le contenu de la table. Une description de la table est importante pour les personnes qui utilisent des lecteurs d'écran. ```html <table class="table table-striped table-sm" summary="Tableau des réservations"> ``` ### Page_lecteur.html Mise à part la redondance des erreurs dans les fichiers HTML du site (lang, xml:lang, summary). ```html <th>N° de semaine</th> ``` Nous avons pu relever une erreur de code, notamment avec l'utilisation de la balise <th> qui n'est pas correctement utilisée. Il faut ajouter un attribut "scope" ou "id" à la balise <th> pour indiquer à quel élément de la table elle correspond. ```html <th scope="col">N° de semaine</th> ``` ```html <td scope="row">11h30-13h</td> ``` ici, la balise `<td>` n'est pas correctement utilisée. Il faut retirer l'attribut "scope" de la balise `<td>`. En effet, l'attribut "scope" est utilisé pour les balises `<th>` uniquement. ```html <td>11h30-13h</td> ``` # Conclusion des mauvaises pratiques de code Nous avons pu relever plusieurs mauvaises pratiques de code dans les différents fichiers du projet. Les mauvaises pratiques de code sont des erreurs de syntaxe ou de programmation qui peuvent avoir des conséquences sur la sécurité du site Web. Par exemple, l'utilisation de RegEx pour vérifier le format de l'heure de début et de fin de la réservation est une mauvaise pratique de code. En effet, les RegEx sont très puissantes et peuvent être utilisées pour des attaques de type ReDoS (Regular Expression Denial of Service). script.py contient plusieurs mauvaises pratiques de code. Ce script gère directement la base de données. Il est donc important de sécuriser la base de données. Les pages HTML du site Web contiennent également plusieurs mauvaises pratiques de code. Même si les pages HTML ne sont pas directement liées à la sécurité du site Web, il est important de respecter les bonnes pratiques de code pour les pages HTML. # Failles de sécurité ## Path Traversal ### Description Le path traversal est une faille de sécurité qui permet à un attaquant de lire des fichiers sur le serveur. Ici, sans gestion de droits ni CAS, un attaquant peut accéder à des fichiers sensibles sur le serveur. ### Démonstration Afin de prouver la vulnérabilité. Nous pouvons effectuer des `curl` sur les différentes pages du site. ```bash curl -I http://0.0.0.0:8000/Page_superviseur.html ```  Comme nous pouvons le voir sur cette photo, `curl` nous renvoie bien un statuts 200 (OK). Nous avons donc bien accès à un fichier sur le serveur, ainsi qu'à toutes les pages du site Web. ### Remédiation Il faut ajouter une gestion de droits et un CAS pour empêcher les attaquants d'accéder aux fichiers sensibles du serveur. ## Malformation des RegEx ### Description Les RegEx sont des expressions régulières. Elles sont utilisées pour vérifier le format d'une chaîne de caractères. Comme expliqué dans les mauvaises pratiques de code, les RegEx sont très puissantes et peuvent être utilisées pour des attaques de type ReDoS (Regular Expression Denial of Service). Ici, les regex pour les dates sont malformées. Il est possible de rentrer des dates qui ne sont pas valides. ### Démonstration  ReDos exemple : ```python import re import time def test_reDoS(regex, string): start = time.time() re.compile(regex).match(string) end = time.time() return end - start regex = r"^(0?\[1-9\]|1\[012\])\[\- /.\](0?\[1-9\]|\[12\]\[0-9\]|3\[01\])\[\- /.\](19|20)\\d\\d$" string = "01/01/2020" \* 1000000 print(test_reDoS(regex, string)) ``` Nous nous sommes amusés à construire un script Python qui permet de tester la vitesse d'exécution d'une regex. Nous avons pu constater que la regex pour les dates est très lente. En effet, la regex pour les dates est malformée. Il est possible de rentrer des dates qui ne sont pas valides. ### Remédiation Il faut corriger les regex pour les dates. ## Test sur Burp Suite ### Description Burp Suite est un outil de test d'intrusion. Il permet de tester les failles de sécurité d'un site Web. Il permet d'intercepter les requêtes HTTP et de les modifier. Il permet également de tester les failles de sécurité d'un site Web. ### Reconnaissance  Nous pouvons donc lancer le mode `target` de BurpSuite. Nous voyons bien la requête HTTP qui est envoyée au serveur sur la droite de l'écran. Etant donné le peu de mesures de sécurité et le manque de serveur CAS, nous pouvons intercepter la requête HTTP et la modifier. La totatilité du site Web est accessible sans authentification. ### Exploitation Nous pouvons intercepter la requête HTTP et la modifier. Nous pouvons ainsi modifier le cookie de session pour accéder à la page de réservation. ### Remédiation Il faut ajouter une gestion de droits et un CAS pour empêcher les attaquants d'accéder aux fichiers sensibles du serveur. # Conclusion sur les failles de sécurité Nous avons pu relever plusieurs failles de sécurité dans les différents fichiers du projet. Les failles de sécurité sont des erreurs de programmation qui peuvent avoir des conséquences sur la sécurité du site Web. Malgré le manque de CAS, de serveur et de gestion de droits, nous avons pu relever quelques failles de sécurité. Nous aurions aimé avoir une infrastructure plus complète pour pouvoir tester les failles de sécurité. # Conclusion générale Nous avons pu relever plusieurs mauvaises pratiques de code et plusieurs failles de sécurité dans les différents fichiers du projet. Le projet de nos 3 camarades est très intéressant même s'il est loin d'être terminé. ```sql DROP TABLE IF EXISTS Users; DROP TABLE IF EXISTS Logs; DROP TABLE IF EXISTS Roles; DROP TABLE IF EXISTS AskForUpgrades; DROP TABLE IF EXISTS RoomGroup; DROP TABLE IF EXISTS Serveurs; ``` ```sql SELECT Users.id, Users.nom, Users.email, Roles.role FROM Users, Roles WHERE Users.id=Roles.id AND Users.id=1 OR 1=1; --- SELECT * FROM Users WHERE id = 1 OR 1=1 --- SELECT * FROM Logs WHERE id = $_GET['id'] ```