Graylog
Les procédures d’analyse de GRAYLOG sont identiques en tous points aux procédures d’analyse réalisées sur le pfSense. C’est pourquoi nous ne détaillerons pas une nouvelle fois les procédures exactes afin de gagner en temps de lecture.
Burp injection SQL
Nous allons maintenant utiliser Burp pour analyser le site web Graylog.
- Cliquer sur “Proxy” (1), puis sur “Intercept (2), puis sur “Intercepts is on” (3) et enfin sur “Open Browser” (4).
- Se rendre sur le site.
- Cliquer sur “Intercept is off”.
- Entrer un username (2) puis cliquer sur “Sign in” (3).
Nous voyons ici la requête qui en attente, interceptée par Burp.
- Cliquer sur “Action” (1), puis sur “send to intruder” (2) et enfin sur “Intruder” (3).
- Cliquer sur “Positions”
Pour la suite de la manipulation, se référer à la partie Burp de pfSense pour positionner les balises et le choix des payloads pour le champ d’username du login.
Nous cherchons un mot clé propre à Graylog pour filtrer les réponses.
- Nous trouvons cette phrase (1), cliquer sur “options” (2).
- Cliquer sur “clear” (1), “paste” (2) puis “Case sensitive match” (3).
Nous voyons après la manipulation que Graylog ne présente pas de vulnérabilité d’injection SQL.
Zed Attack Proxy injection SQL
Ouvrir ZAP et chercher le site de Graylog.
- Faire une requête de connexion.
- Cliquer sur le site que nous voulons attaquer, ici Graylog en HTTPS.
- Cliquer sur la requête de connexion.
- Lancer une attaque par fuzzer.
- Choisir le champ à remplacer puis cliquer sur “Add…”.
- Cliquer sur “Start Fuzzer”.
- Cliquer sur “Export”.
- Sauvegarder le fichier csv.
- Générer le rapport.
Zed Attack Proxy brute force
- Dans zed, faire une tentative de connexion à graylog.
- Sélectionner le premier champ à remplacer, username, et cliquer sur “Add…”.
- Choisir le fichier et cliquer sur “Add”.
- Choisir le fichier de mot.
- Cliquer sur “OK”.
- Nous allons aussi remplacer le champ mot de passe.
- Cliquer sur “Add…”.
- Choisir le fichier.
- Cliquer sur “OK”.
- Cliquer sur “Start Fuzzer”.
- Cliquer sur “Export”.
- Sauvegardez le .csv.
Zed Attack Proxy OWASP top10
Commencer par ouvrir le site que nous voulons tester dans ZAP, ici Graylog.
- Se connecter.
Nous voyons que ZAP ajoute un overlay avec des boutons.
- Cliquer sur le bouton “Start” avec l’araignée noire qui lance un programme qui parcourt récursivement le site.
- Cliquer sur le bouton “Start”.
- Attendre la fin du chargement.
- Cliquer sur “Start” avec l’araignée rouge qui lance un programme basée sur AJAX spider qui permet d’aller plus en profondeur.
Nous utilisons en général les deux araignées pour de meilleurs résultats.
- Cliquer sur “Start”.
Nous voyons les requêtes envoyées par ZAP.
- Cliquer sur “Start” avec la goûte pour lancer le scan actif.
Les scans actifs ne sont pas conseillés sur du matériel opérationnel, en effet, envoyer des paquets malveillants peut détruire le routeur. C’est pour cette raison que nous avons pris la précaution de faire des snapshots avant de lancer le scan actif.
- Cliquer sur “Start”.
Nous obtenons le rapport suivant.
Nous voyons que certaines alertes sont trouvées notamment sur du cross site scripting.
