Les consultants d’XMCO assistent à la conférence Hack.Lu qui se déroule au Luxembourg durant 3 jours.
Comme à notre habitude, les résumés seront publiés dans leur intégralité dans notre newsletter l’ActuSécu. Cependant, afin de vous faire partager nos premières impressions, nos consultants vous feront part de leur impression concernant certaines des conférences « à chaud ».
Automated Vulnerability Scanning And Exploitation
La première conférence de la journée, présentée par deux étudiants à l’université d’Amsterdam, part d’un constat simple : beaucoup de développeurs téléchargent des scripts afin de les intégrer au sein de leurs applications. Cependant, peu de développeurs s’assurent de l’absence de failles de sécurité impactant ces logiciels tiers.
Les deux chercheurs, Thijs Houtenbos et Dennis Pellikaan ont donc décidé alors d’automatiser la recherche de vulnérabilité sur plus de 20 000 projets, disponible librement sur des sites comme GitHub ou encore SourceForge. C’est plus de 25 000 codes potentiellement vulnérables qui ont été identifiés. D’après leur étude, on trouve moins de vulnérabilité dans les applications disponibles sur GitHub qu’au sein de celles hébergées sur Sourceforge. Les développeurs utilisant GitHub seraient « meilleurs » ?
Les deux chercheurs ont également remonté que 85% des vulnérabilités sont des Injections SQL, 12% des failles d’inclusion de fichiers et enfin 3% des injections de commande. L’automatisation de l’exploitation de ces vulnérabilités s’est néanmoins avérée complexe. Moins d’un quart d’entre elles a finalement pu être exploité de manière automatique. À l’aide de Google et de 13 adresses IP, 20 requêtes par jour ont été effectuées sur le moteur de recherche afin d’identifier de manière entièrement automatisée plus de 8 000 systèmes implémentant des scripts vulnérables.
