cleartext password over http

[wfr34]

Bonjour à tous et toutes,
Je suis nouveau par ici J'aimerais en apprendre plus sur la faille "cleartext password over http"

C'est le site d'un ami qui à cette faille après un scan sous VEGA (Kali Linux) c'est pas le top je vous avoue mais je ne sais pas scanner les failles à la main je suis encore qu'un petit passionnée de sécurité informatique.

Mes questions. Comment on scanne à la main ?
Comment on est sur que elle est présente c'est comme une faille SQL rajoute un apostrophe et on a l'erreur et ce que avec cette faille on a une technique pour le savoir si elle st vraiment présente ?

Comment l'exploiter ?

et on fini par comment on corrige cette faille ?

Merci beaucoup d'avance.

[ark]

Salut,

alors, règle numéro une si tu veux devenir bon dans ce domaine, comprends ce que tu fais plutôt que de demander à des outils a faire les choses pour toi ! Laisse tomber ta Kali, ça sert a rien et c'est contre-productif pour un débutant.

Pour répondre à ta question, la faille dont tu parle, c'est simple ça veut dire que le mot de passe est envoyé en clair via le protocol HTTP. Dèjà à partir de ça tu peux aller voir comment fonctionne ce protocole, ça t'aidera probablement à voir ce qu'est le problème réellement, et à mieux le comprendre.

Une solution "simple" pour corriger le problème serait d'utiliser le protocole HTTPS à la place de HTTP.

[wfr34]

Merci à toi pour la réponse !
Connaissant déjà le protocole HTTP et je viens de le revoir pour me rafrichir la mémoire (j'ai un peu oublier)
Du coup sa ne m'explique pas totalement comment exploiter cette faille x)

[ark]

Pour ce qui est de l'exploitation, intéresse toi a ce qui est écoute réseau, avec un outil comme wireshark par exemple.

[wfr34]

On peut exploiter ça avec WireShark ?
Il faut que l'admin ce connecte pendant qu'on lance WireShark ou c'est comment ?

[Booster2ooo]

L'exploitation se passe via une attaque de type MITM, pour le reste, Google sera ton amis je pense.

[wfr34]

Le soucis Booster2ooo c'est que tout est en Anglais du coup je comprend pas tout :'(

[infierno]

salut, je trouve la question intéressante. je me suis moi même penché rapidement sur le sujet il y a quelque mois et si tu ne veux pas investir dans un certificat SSL, un moyen serai de chiffrer tes envois de formulaire côté client et donc avec du javascript.

Jette un coup d'oeil à jcryption.

[wfr34]

Merci à toi Infierno pour ton aide

[GreenBlood]

Comme l'a dit l'ami Booster2ooo, MITM + L2FG + RTFM

Qui plus est, les certificats SSL et la sécurité HTTP c'est pas la même affaire les copains. Niveau sécu sur du pur HTTP y'a ben... Bah y'a rien en fait, ce protocole date d'une époque où la sécu était un point de détail dans l'histoire. (Ne parlons pas des authentifications Basic et Digest qui sont respectivement une jambe de bois destinée à un cul-de-jatte et le pansement sur cette même jambe de bois.)

Non vraiment hein, le seul moyen de sécuriser un échange entre un client et un serveur via HTTP c'est le TLS. (Et pas besoin d'investir, un certificat SSL n'est pas forcément payant)

Et puis chiffrement en js... Comment dire... Analogie, analogie... C'est tabasser le cul-de-jatte avec sa propre jambe de bois. (Et ceux qui activent pas JS sont dans la merde jusqu'au coudes)

[ark]

Je plussoie GreenBlood, et voici un lien pour avoir des certificats X.509 trusted et gratuit : https://letsencrypt.org/

EDIT: Il semblerait que les certificats fournis par letsencrypt ne soient pas geniaux: https://blog.imirhil.fr/2015/12/12/letse...ption.html
Il reste cependant la solution de faire vos propres certificats (self-signed certificates), qui chiffrera la communication, mais affichera un message d'avertissement aux utilisateurs. Le probleme etant que si le certificat n'est pas signe, on est pas reellement a l'abri d'une attaque Man In The Middle...

[infierno]

Oui effectivement il existe cette solution pour des certificats gratuits (3 mois renouvelable) mais peu d'hébergeurs s'y sont mis.
Il était question d'HTTPS (HTTP + SSL) et de pas laisser passer les mdp de formulaire circuler en clair, voila pourquoi j'ai proposé la solution du chiffrement javascript.

EDIT: Pour rebondir ark en effet on peut faire son certificat maison mais le mieux est d'en prendre un qui sort d'une CA approuvée pour rassurer l'internaute.

[Junky]

Bonjour,

Attention "rassurer" l'internaute != sécurité. A ne pas confondre. Sinon je suis assez d'accord avec les acolytes SangVert et Ark. Un peu de RTFM, du temps et IRC. N'hésitez pas a venir poser vos questions.

Code :

irc.big-daddy.fr/#N-PN

Junky,

[supersnail]

Je plussoie GreenBlood, et voici un lien pour avoir des certificats X.509 trusted et gratuit : https://letsencrypt.org/

EDIT: Il semblerait que les certificats fournis par letsencrypt ne soient pas geniaux: https://blog.imirhil.fr/2015/12/12/letse...ption.html
Il reste cependant la solution de faire vos propres certificats (self-signed certificates), qui chiffrera la communication, mais affichera un message d'avertissement aux utilisateurs. Le probleme etant que si le certificat n'est pas signe, on est pas reellement a l'abri d'une attaque Man In The Middle...

Ceci dit c'est pas garanti même avec un certificat signé par une autorité reconnue (suffit qu'un Etat oblige un CA sur son territoire à leur fournir un certificat signé par le CA pour le(s) site(s) qu'ils veulent MITM et hop, c'est transparent pour l'end user, ou pire qu'un CA se fasse piquer sa clé privée de signature de certificats, un attaquant peut l'utiliser jusqu'à ce que la clé/les certifs signés avec elle soient révoqués, ce qui peut prendre du temps si l'intrusion n'est pas détectée)

[ark]

Ceci dit c'est pas garanti même avec un certificat signé par une autorité reconnue (suffit qu'un Etat oblige un CA sur son territoire à leur fournir un certificat signé par le CA pour le(s) site(s) qu'ils veulent MITM et hop, c'est transparent pour l'end user, ou pire qu'un CA se fasse piquer sa clé privée de signature de certificats, un attaquant peut l'utiliser jusqu'à ce que la clé/les certifs signés avec elle soient révoqués, ce qui peut prendre du temps si l'intrusion n'est pas détectée)

Oui, complètement. =) Mais j'ai fais le choix de pas en parler volontairement, parce que ça demande de recourir à des mesures "extrêmes".