Retour au site du LAAS-CNRS

Abstract

Virtualization techniques are at the heart of Cloud Computing, and these techniques add their own vulnerabilities to those traditional in any connected computer system. This paper presents an overview of such vulnerabilities, as well as possible counter-measures to cope with them.

Résumé

Avec le développement croissant d'Internet, les applications Web sont devenues de plus en plus vulnérables et exposées à des attaques malveillantes pouvant porter atteinte à des propriétés essentielles telles que la confidentialité, l'intégrité ou la disponibilité des systèmes d'information. Pour faire face à ces malveillances, il est nécessaire de développer des mécanismes de protection et de test (pare feu, système de détection d'intrusion, scanner Web, etc.) qui soient efficaces. La question qui se pose est comment évaluer l'efficacité de tels mécanismes et quels moyens peut-on mettre en oeuvre pour analyser leur capacité à détecter correctement des attaques contre les applications web. Dans cette thèse nous proposons une nouvelle méthode, basée sur des techniques de clustering de pages Web, qui permet d'identifier les vulnérabilités à partir de l'analyse selon une approche boîte noire de l'application cible. Chaque vulnérabilité identifiée est réellement exploitée ce qui permet de s'assurer que la vulnérabilité identifiée ne correspond pas à un faux positif. L'approche proposée permet également de mettre en évidence différents scénarios d'attaque potentiels incluant l'exploitation de plusieurs vulnérabilités successives en tenant compte explicitement des dépendances entre les vulnérabilités. Nous nous sommes intéressés plus particulièrement aux vulnérabilités de type injection de code, par exemple les injections SQL. Cette méthode s'est concrétisée par la mise en oeuvre d'un nouveau scanner de vulnérabilités et a été validée expérimentalement sur plusieurs exemples d'applications vulnérables. Nous avons aussi développé une plateforme expérimentale intégrant le nouveau scanner de vulnérabilités, qui est destinée à évaluer l'efficacité de systèmes de détection d'intrusions pour des applicationsWeb dans un contexte qui soit représentatif des menaces auxquelles ces applications seront confrontées en opération. Cette plateforme intègre plusieurs outils qui ont été conçus pour automatiser le plus possible les campagnes d'évaluation. Cette plateforme a été utilisée en particulier pour évaluer deux techniques de détection d'intrusions développées par nos partenaires dans le cadre d'un projet de coopération financé par l'ANR, le projet DALI.

Abstract

Web applications vulnerability analysis and intrusion detection systems assessment With the increasing development of Internet, Web applications have become increasingly vulnerable and exposed to malicious attacks that could affect essential properties such as confidentiality, integrity or availability of information systems. To cope with these threats, it is necessary to develop efficient security protection mechanisms and testing techniques (firewall, intrusion detection system, Web scanner, etc..). The question that arises is how to evaluate the effectiveness of such mechanisms and what means can be implemented to analyze their ability to correctly detect attacks against Web applications. This thesis presents a new methodology, based on web pages clustering, that is aimed at identifying the vulnerabilities of a Web application following a black box analysis of the target application. Each identified vulnerability is actually exploited to ensure that the identified vulnerability does not correspond to a false positive. The proposed approach can also highlight different potential attack scenarios including the exploitation of several successive vulnerabilities, taking into account explicitly the dependencies between these vulnerabilities. We have focused in particular on code injection vulnerabilities, such as SQL injections. The proposed method led to the development of a new Web vulnerability scanner and has been validated experimentally based on various vulnerable applications. We have also developed an experimental platform integrating the new web vulnerability scanner, that is aimed at assessing the effectiveness ofWeb applications intrusion detection systems, in a context that is representative of the threats that such applications face in operation. This platform integrates several tools that are designed to automate as much as possible the evaluation campaigns. It has been used in particular to evaluate the effectiveness of two intrusion detection techniques that have been developed by our partners of the collaborative project DALI, funded by the ANR, the French National Research Agency.

Mots-Clés / Keywords

Application Web; Attaque et vulnérabilités; Evaluation; Système de détection d'intrusions; Scanner Web; Web applications; Web attacks; Vulnerabilities; Intrusion detection systems; Web vulnerability scanners;

Résumé

Lors de la conception des avions, il est courant que les constructeurs évaluent la sûreté de fonctionnement en utilisant des modèles stochastiques, mais l'évaluation de la fiabilité opérationnelle à l'aide de modèles, en ligne, reste rarement effectuée. Souvent, l'évaluation stochastique concerne la sécurité des avions ou des missions. Cet article aborde la fiabilité opérationnelle des missions d'avion, à la suite de défaillances de composants, de modifications dans l'environnement opérationnel, ou de changement concernant les possibilités de maintenance dans les diverses escales que comporte la mission. Nous décrivons comment l'évaluation de la fiabilité opérationnelle en ligne peut permettre d'ajuster une mission d'avion, en cas de changements majeurs durant sa réalisation. L'évaluation est rendue possible grâce à la construction et à la validation d'un modèle de sûreté de fonctionnement facile i) à utiliser pour la définition d'une mission initiale, et ii) à mettre à jour lors de la réalisation d'une mission, suite à l'occurrence de certains événements majeurs. Le modèle peut être construit dès la phase de conception, par des ingénieurs spécialistes en sûreté de fonctionnement, en utilisant les processus stochastiques. La mise à jour et le traitement du modèle, en phase opérationnelle, peuvent être effectués par les exploitants, qui ne sont pas nécessairement familiers avec les processus stochastiques. Nous présentons des exemples de résultats qui montrent le rôle important de la réévaluation de la fiabilité opérationnelle pendant une mission d'avion.