Академический Документы
Профессиональный Документы
Культура Документы
Hacking
Je vais expliquer dans ce chapitre les principales techniques utilisées pour exploiter
les failles de sécurité ou pour contourner les systèmes de surveillance.
Base64
Le codage Base64 est né du besoin de trouver des solutions pour envoyer entre
autre, les caractéres accentués à l’époque ou les e-mails ne contenaientt que les 64
caractères US-ASCI.
Le principe du codage Base64 est très simple, il consiste à coder les caractères 8 bits
sur 6 bits ou 3 octets dans 4.
Ce codage permet d’échanger des données binaires au travers des systèmes qui fil-
trent tout ce qui n’est pas du texte. La surcharge en taille est relativement faible
(multiplication de la taille par 4/3). De plus, ce codage fait l’objet d’une norme
(RFC 2045) et son codage est possible et simple dans tous les langages, script y
compris.
Grâce au Base64 on peut encoder un fichier exécutable et le faire passer pour du
texte lors de son transport, afin de traverser tous les détecteurs (IDS, proxy, anti-
virus), et de le décoder à la réception pour obtenir le fichier d’origine.
Le maillon faible 57
Les Techniques de Hacking
L’attaque par Cross Site Scripting implique un serveur qui génère une page HTML
dynamique avec des données fournies précédemment par le navigateur. Le serveur
peut être manipulé afin d’envoyer en plus de la page prévue, un script mal-inten-
tionné. Le navigateur, croyant être en zone “sûre”, exécute le script. L’attaque per-
met alors de voler la session de l’utilisateur.
Le Cross Site Scripting ne vise pas spécialement un client, mais tous les clients
d’un site web, car c’est une faille au niveau du codage de la page HTML qui per-
met l’attaque.
On peut également utiliser cette technique en local (sur la station de travail) car si
on peut ouvrir une page dans une zone “Local” on outre-passe les droits mis sur la
zone “Internet”...
58 Le maillon faible
Man in the Middle (L’homme du milieu)
POST DU LOGIN
STOCK LOGIN ET MOT DE PASSE
HTTP/1.1 302 RELOCATION HTTPS
Le maillon faible 59
Les Techniques de Hacking
60 Le maillon faible