Rechercher sur ce blogue

jeudi 26 mai 2016

Voici le top 10 des techniques de piratage découverts en 2015



Top web hacking techniques of 2015


Hier, nous avons fait sortir la liste des meilleures techniques de craquage 6 mots de passe utilisés par les pirates et les cyber-criminels. Dans le prolongement de la même série que nous avons aujourd'hui faire ressortir les 10 techniques de piratage utilisées par les pirates en 2015.Le piratage
Hacking est un terme qui a pris naissance dans les années 1990 et est associé à l'utilisation non autorisée des ressources informatiques et réseau. Par définition, le piratage est la pratique de modifier les caractéristiques d'un système, pour atteindre un objectif qui est pas dans la portée de l'objet de sa création.
Hacking est plus couramment utilisé dans le contexte de "Computer Hacking" où la menace se pose à la sécurité de l'ordinateur et d'autres ressources. En outre, le piratage a peu d'autres formes qui sont moins connus et ont parlé de .e.g. cerveau piratage, le piratage de téléphone, etc.
«Hacker» est un terme utilisé pour désigner un programmeur expérimenté qui avait compétence dans les systèmes de code machine et d'exploitation. Ces individus étaient compétents dans la résolution des problèmes insatisfaisants et le code des concurrents souvent interprétés à travailler comme agents de renseignement pour les petites entreprises de logiciels.
Il existe trois types de pirates, chapeau blanc ou hackers éthiques, les pirates de chapeau gris et les pirates de chapeau noir. Vous pouvez lire sur les différents types de pirates ici. Nous ne habituellement avons à vous soucier des pirates sur les éthiques mais il faut garder un pour le chapeau gris et black hat hackers qui sont habituellement les cyber-criminels.
En 2015, il y avait une douzaine de grandes vulnérabilités de temps découverts par les chercheurs. Cependant, quelques-uns de ceux qui ont effectivement été exploitées dans la nature. 

Voici le top 10 des techniques de piratage découverts en 2015:

# 1 FREAK Attaque
attaque Freak est un SSL / TLS vulnérabilité qui permettrait à des attaquants afin d'intercepter les connexions HTTPS et les forcer à utiliser le cryptage affaibli. La vulnérabilité a été rapportée la première fois en mai 2015 et peut être lu ici.
Chercheurs: Karthikeyan Bhargavan à l'INRIA à Paris et l'équipe de miTLS. Vous pouvez obtenir de plus amples détails sur la recherche d'attaque Freak ici. 

# 2 LOGJAM vulnérabilité
la vulnérabilité Logjam a été découvert en Octobre 2015. Il était une autre vulnérabilité TLS qui permet à l'homme-in-the-middle par le déclassement des connexions TLS vulnérables au cryptage 512-bit.
Une équipe de chercheurs de David Adrian, Karthikeyan Bhargavan, Zakir Durumeric, Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Emmanuel Thomé, Luke Valenta, Benjamin VanderSloot, Eric Wustrow, Santiago Zanella-Béguelin, et Paul Zimmermann découvert cette vulnérabilité et vous pouvez lire plus d'informations à ce sujet ici. 

# 3 Web Timing Attaques

Web Timing attaques ont été révélées de nombreuses années en arrière, mais c'est la première fois que les chercheurs ont montré comment il peut être exécuté. Discussion Black Hat sur la façon de modifier le calendrier des attaques à canal latéral pour le rendre plus facile à effectuer de synchronisation à distance des attaques contre les applications web modernes.
Les chercheurs principaux de calendrier Web attaque sont Timothy Morgan et Jason Morgan. 

# 4 Contourner Tous * Filtres WAF XSS
Le chercheur en sécurité Mazin Ahmed a découvert qu'il est, il est possible de se soustraire cross-site scripting filtres de tous les pare-feu d'application Web populaires. Une fois exploité les pirates peuvent faire à peu près tout ce qu'ils veulent.
Le document de recherche peut être lue ici. 

# 5 Abusing CDN est avec SSRF flash et DNS
Maintenant, un jour presque tous les grands sites Web utilisent le contenu des réseaux de distribution (CDN). La recherche a mis en évidence à la Black Hat regardant une collection de modèles d'attaque qui peut être utilisé contre les réseaux de diffusion de contenu pour cibler un large éventail de sites de haute disponibilité.
Les deux chercheurs, Mike Brooks et Matt Bryant a découvert cette technique de piratage. 

# 6 IllusoryTLS
IllusoryTL est un motif d'attaque qui peut détruire les garanties de sécurité de l'architecture de sécurité X.509 PKI en utilisant des certificats CA qui comprennent une porte dérobée secrètement embarqué. La vulnérabilité a été découverte par un chercheur en sécurité, Alfonso De Gregorio.
Vous pouvez obtenir des informations supplémentaires sur illusorytls ici. 

# 7 L'exploitation XXE dans l'analyse du fichier Fonctionnalité
Les cyber-criminels peuvent exploiter le XXE dans le fichier analyse des fonctionnalités. Une conférence Black Hat examen des méthodes pour exploiter les vulnérabilités XML Entité dans le fichier fonctionnalité analyse / de téléchargement pour les formats de fichiers XML pris en charge tels que DOCX, XSLX et PDF.
Le chercheur en sécurité qui a découvert cette vulnérabilité était Will Vandevanter. 

# 8 Abusing XLST
La vulnérabilité en XLST était connu depuis longtemps, mais le chercheur en sécurité Fernando Arnaboldi a démontré pour la première fois lors de la conférence Black Hat.
La recherche et les attaques de preuve de concept mis en évidence à la Black Hat qui montrent comment XSLT peut être exploité pour saper l'intégrité et la confidentialité des informations de l'utilisateur. 

# 9 Magie Hashes
Les chercheurs en sécurité, Robert Hansen et Jeremi M. Gosney a découvert une vulnérabilité dans la façon dont PHP gère les comparaisons de hachage.
On dirait dans une faiblesse dans la façon dont PHP gère les chaînes haché dans certains cas pour permettre de compromettre les systèmes d'authentification et d'autres fonctions qui utilisent des comparaisons de hachage en PHP.
Vous pouvez obtenir de plus amples informations sur la magie hash ici. 

# 10 Asynchronous Vulnérabilités
Le chercheur en sécurité James Kettle a présenté une recherche à 44CON Delves qui explique comment utiliser les méthodes de rappel exploiter induites pour trouver des vulnérabilités qui se cachent dans les fonctions de back-end et les discussions de fond.
44CON LONDON 2015 de 44CON sur Vimeo.
Lisez aussi: Voici comment vous pouvez apprendre le piratage en 3 étapes







Source.:

Aucun commentaire: