dimanche 12 janvier 2014

Suivre le berger par sécurité (Security Shepherd 101)

Il y a quelques temps déjà l’OWASP nous proposait Security Shepherd, une application permettant de découvrir les vulnérabilités des applications web sous la forme amusante d’un CTF (Capture The Flag) ou bien sous la forme plus classique permettant un accès à toutes les vulnérabilités.

Depuis peu l’OWASP fournit également une machine virtuelle contenant Security Shepherd. Et ça c’est plutôt sympathique.

On peut ainsi très facilement publier sur internet le CTF pour jouer avec des amis ou bien proposer des exercices aux étudiants.

L’OWASP devrait également fournir prochainement la possibilité d’ajouter ces propres exercices.

Ce que l’on reproche généralement à ce type d’outil c’est la nécessité de trouver la vulnérabilité telle qu’elle a été pensée par les concepteurs. Et généralement le hacker en herbe n’a pas la possibilité de faire preuve d’imagination et de sortir du carcan du concepteur. C’est en particulier le cas de Webgoat (de l'OWASP également) qui reste malgré tout un très bon outil pédagogique (pour plus d’informations sur Webgoat vous pouvez jeter un œil à Un bug dans Webgoat 5.2? Non! Pas un mais deux…).

Au travers des premiers tests que j’ai pu réaliser avec Security Shepherd, il ne semble pas être aussi contraignant que Webgoat.

Dans ce qui suit nous allons décrire les étapes permettant de mettre en place un petit CTF entre amis.

Je ne m’attarde pas sur la mise en place de la VM, et la publication de Security Shepherd sur internet. C’est assez standard !

1ère étape : Créer une classe


2ème étape : Créer vos participants dans une classe


Vous pouvez ensuite visualiser ou changer la liste des participants à une classe donnée.


3ème étape : Configurer le mode « Capture The Flag »


4ème étape : Jouer


Après la connection, le participant doit impérativement changer son mot de passe pour pouvoir commencer les exercices.




Un premier exercice est proposé au participant qui peut choisir ses propres outils pour le résoudre.


Une fois l'exercice résolu, une clef est affichée. Cette clef doit ensuite être copiée dans la champ rservé à cet effet en haut de la page, puis soumise au serveur pour que le résultat de l'exercice soit finalement pris en compte.


5ème étape : Visualiser les résultats en temps réel


L'administrateur peut suivre en direct les résultats du concours. on voit ici que c'est le participant "student1" qui vient de prendre la tête de la course!

Amusez-vous bien !


Note : comme vous pouvez le constater je ne vous donne pour l’instant aucune information sur comment résoudre les exercices pour vous permettre de prendre plus de plaisir dans la recherche des solutions ! Les solutions devraient faire l'objet d'un prochain article très certainement !

Publié par

1 commentaire:

  1. Philippe Biton19 février 2014 à 02:42

    Bon finalement, Security Shepherd présente les mêmes problèmes que ses homologues: les solutions aux challenges sont codées en dur, et si vous réussissez le challenge sans passer par ce que le serveur attend vous ne récupérez pas la clef pour passer au niveau suivant. Dommage! Mais l'outil reste très intéressant!

    RépondreSupprimer

Inscription à : Publier les commentaires (Atom)

Partager avec...