TYPO3 - Test d'intrusion

Pentests présentation lors de la TYPO3Camp de Nantes en juin 2017

Posté par Julian Layen, le mardi 4 juillet 2017

Ici nous verrons l'utilisation de logiciels open sources afin de réaliser des tests de pénétrations (pentests en anglais). Attention ceci n'est pas du hacking.

Major pentesting 

1. Injection de code
2. Récupération du token/session
3. XSS ajout de code dans l'URL

Il y a différents niveaux de tests : 

1. Black box :  comme un utilisateur externe, on ne connaît pas la techno etc ...
2. Grey box : connaît les bases de la techno crawlé
3. White box : connait beaucoup de choses, ont va plus loin et nous avons accès au code, c'est surtout utilisé pour le secteur bancaire, ils y a des tests tous les types de risques

Il est aussi possible de faire des tests grâce à un proxy : 

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://en.wikipedia.org/wiki/OWASP_ZAP

Il est aussi possible de faire des tests avec des dictionnaires de mots de passe.

Sources de risques TYPO3

Lien vers la documentation

http://typo3versions.felixnagel.com/

Vérification avec Google pour vérifier si les fichiers de configurations de TYPO3 se retrouvent indexés. 

Exemple : 

https://www.google.fr/search?q=inurl%3Atypo3conf%2FLocalConfiguration.php&oq=inurl%3Atypo3conf%2FLocalConfiguration.php&aqs=chrome..69i57j69i58.13207j0j1&sourceid=chrome&ie=UTF-8

https://www.google.fr/search?q=inurl%3Atypo3conf%2FENABLE_INSTALL_TOOL&oq=inurl%3Atypo3conf%2FENABLE_INSTALL_TOOL&gs_l=serp.3...10724.22327.0.22763.22.22.0.0.0.0.96.1610.22.22.0.crnk_qsd...0...1.1.64.serp..0.0.0.RTxYQiPvX1k

https://www.google.fr/search?q=filetypes%3Ats%3Ainurl%3Atypo3conf&oq=filetypes%3Ats%3Ainurl%3Atypo3conf&gs_l=serp.3...40543.44344.0.44797.9.9.0.0.0.0.88.556.9.9.0.crnk_qsd...0...1.1.64.serp..0.0.0.938mLwSFKBI

Il est important de protéger les fichiers TypoScript dans Apache.

Autres risques 

Ajax, SMTP, LDAP ...

Les outils

Jenkins CI, SQLmap, CMSMap, gauntlt (https://github.com/gauntlt/gauntlt) Meta Framwork pour utiliser des outils d'attaques.

https://www.continuumsecurity.net/bdd-security/

https://github.com/continuumsecurity/bdd-security

Selenium + Nessus + SSLyze + Internal + OWASP ZAP

OWASP ZAP - simple scan

ZAPR outil en ruby pour scanner et tests des mots de passe

Jenkins (CI + environnement injector plugin) qui exécute les tests de securités
https://github.com/zaproxy/zaproxy/wiki/Docker

https://tools.pentestbox.org/
https://typo3.org/teams/security/extension-security-policy/

Il faut utiliser plutôt mariaDB que MySQL car elle est bien plus sécurisés. 

Infos

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://www.tenable.com/products/nessus-vulnerability-scanner
https://www.thsf.net/
https://toulousehackingconvention.fr/

 

Merci à Fedir RYKHTIK pour cette présentation