Effectuer une reconnaissance de découverte par moteur de recherche pour la fuite d'informations

Comment utiliser les moteurs de recherche pour découvrir des informations sensibles sur un site ou une application web, y compris l'utilisation d'opérateurs de recherche et de techniques de 'Google Hacking'.

Introduction

Pour que les moteurs de recherche fonctionnent, des programmes informatiques (ou `robots`) récupèrent régulièrement des données (appelées exploration) à partir de milliards de pages sur le web. Ces programmes trouvent du contenu web et des fonctionnalités en suivant des liens à partir d'autres pages, ou en regardant des plans de site. Si un site utilise un fichier spécial appelé `robots.txt` pour lister les pages qu'il ne veut pas que les moteurs de recherche récupèrent, alors les pages listées ici seront ignorées. Ceci est un aperçu de base - Google offre une explication plus approfondie de comment fonctionne un moteur de recherche.

Les testeurs peuvent utiliser les moteurs de recherche pour effectuer une reconnaissance sur les sites et les applications web. Il existe des éléments directs et indirects à la découverte et à la reconnaissance par les moteurs de recherche : les méthodes directes concernent la recherche dans les index et le contenu associé à partir des caches, tandis que les méthodes indirectes concernent l'apprentissage d'informations sensibles sur la conception et la configuration en effectuant des recherches dans les forums, les groupes de discussion et les sites d'appel d'offres.

Une fois qu'un robot de moteur de recherche a terminé l'exploration, il commence à indexer le contenu web en fonction des balises et des attributs associés, tels que `<title>`, afin de renvoyer des résultats de recherche pertinents. Si le fichier `robots.txt` n'est pas mis à jour pendant la durée de vie du site et que les balises méta HTML en ligne qui demandent aux robots de ne pas indexer le contenu n'ont pas été utilisées, il est possible que les index contiennent du contenu web qui n'était pas destiné à être inclus par les propriétaires. Les propriétaires de sites peuvent utiliser le fichier `robots.txt` mentionné précédemment, les balises méta HTML, l'authentification et les outils fournis par les moteurs de recherche pour supprimer ce contenu.

Objectifs du test

Identifier les informations sensibles de conception et de configuration de l'application, du système ou de l'organisation qui sont exposées directement (sur le site de l'organisation) ou indirectement (via des services tiers).

Comment tester

Utilisez un moteur de recherche pour rechercher des informations potentiellement sensibles. Cela peut inclure :

les schémas et configurations du réseau ;
les messages archivés et les e-mails des administrateurs ou d'autres membres du personnel clé ;
les procédures de connexion et les formats de nom d'utilisateur ;
les noms d'utilisateur, les mots de passe et les clés privées ;
les fichiers de configuration tiers ou de services cloud ;
le contenu révélateur des messages d'erreur ; et
les applications non publiques (versions de développement, de test, de test d'acceptation par l'utilisateur (UAT) et de préproduction des sites).

Moteurs de recherche

Ne limitez pas les tests à un seul fournisseur de moteur de recherche, car différents moteurs de recherche peuvent générer des résultats différents. Les résultats des moteurs de recherche peuvent varier de plusieurs manières, en fonction du moment où le moteur a exploré le contenu pour la dernière fois et de l'algorithme que le moteur utilise pour déterminer les pages pertinentes. Envisagez d'utiliser les moteurs de recherche suivants (classés par ordre alphabétique) :

Baidu, le moteur de recherche le plus populaire de Chine.
Bing, un moteur de recherche détenu et exploité par Microsoft, et le deuxième plus populaire au monde. Prend en charge les mots-clés de recherche avancée.
binsearch.info, un moteur de recherche pour les groupes de discussion Usenet binaires.
Common Crawl, "un référentiel ouvert de données d'exploration web qui peut être consulté et analysé par n'importe qui".
DuckDuckGo, un moteur de recherche axé sur la confidentialité qui compile les résultats de nombreuses sources différentes. Prend en charge la syntaxe de recherche.
Google, qui offre le moteur de recherche le plus populaire au monde, et utilise un système de classement pour tenter de renvoyer les résultats les plus pertinents. Prend en charge les opérateurs de recherche.
Internet Archive Wayback Machine, "construire une bibliothèque numérique de sites Internet et d'autres artefacts culturels sous forme numérique".
Shodan, un service de recherche d'appareils et de services connectés à Internet. Les options d'utilisation incluent un plan gratuit limité ainsi que des plans d'abonnement payants.

Opérateurs de recherche

Un opérateur de recherche est un mot-clé ou une syntaxe spéciale qui étend les capacités des requêtes de recherche régulières et peut aider à obtenir des résultats plus spécifiques. Ils prennent généralement la forme de `opérateur:requête`. Voici quelques opérateurs de recherche couramment pris en charge :

site: limitera la recherche au domaine fourni.
inurl: ne renverra que les résultats qui incluent le mot-clé dans l'URL.
intitle: ne renverra que les résultats qui ont le mot-clé dans le titre de la page.
intext: ou inbody: ne recherchera le mot-clé que dans le corps des pages.
filetype: ne correspondra qu'à un type de fichier spécifique, c'est-à-dire .png ou .php.

Par exemple, pour trouver le contenu web de owasp.org tel qu'indexé par un moteur de recherche typique, la syntaxe requise est :

site:owasp.org

Exemple de résultat de recherche avec l'opérateur site de Google

Figure 4.1.1-1 : Exemple de résultat de recherche avec l'opérateur site de Google

Affichage du contenu en cache

Pour rechercher du contenu qui a déjà été indexé, utilisez l'opérateur `cache:`. Ceci est utile pour afficher du contenu qui a pu changer depuis son indexation, ou qui n'est plus disponible. Tous les moteurs de recherche ne fournissent pas de contenu en cache à rechercher ; la source la plus utile au moment de la rédaction est Google.

Pour afficher owasp.org tel qu'il est mis en cache, la syntaxe est :

cache:owasp.org

Exemple de résultat de recherche avec l'opérateur cache de Google

Figure 4.1.1-2 : Exemple de résultat de recherche avec l'opérateur cache de Google

Google Hacking ou Dorking

La recherche avec des opérateurs peut être une technique de découverte très efficace lorsqu'elle est combinée à la créativité du testeur. Les opérateurs peuvent être enchaînés pour découvrir efficacement des types spécifiques de fichiers et d'informations sensibles. Cette technique, appelée Google hacking ou Dorking, est également possible en utilisant d'autres moteurs de recherche, tant que les opérateurs de recherche sont pris en charge.

Une base de données de dorks, comme la Google Hacking Database, est une ressource utile qui peut aider à découvrir des informations spécifiques. Certaines catégories de dorks disponibles sur cette base de données incluent :

Points d'appui
Fichiers contenant des noms d'utilisateur
Répertoires sensibles
Détection de serveur web
Fichiers vulnérables
Serveurs vulnérables
Messages d'erreur
Fichiers contenant des informations juteuses
Fichiers contenant des mots de passe
Informations sensibles sur les achats en ligne

Remédiation

Examinez attentivement la sensibilité des informations de conception et de configuration avant de les publier en ligne.

Examinez périodiquement la sensibilité des informations de conception et de configuration existantes qui sont publiées en ligne.

◄ Précédent Suivant ►

く

Table des matières

Avant-propos par Eoin Keary
Frontispice
Introduction
Le cadre de test OWASP
Test de sécurité des applications Web
1. Introduction et objectifs
2. Collecte d'informations
3. Test de gestion de la configuration et du déploiement
  1. Tester la configuration de l'infrastructure réseau
  2. Tester la configuration de la plateforme applicative
  3. Tester la gestion des extensions de fichiers pour les informations sensibles
  4. Examiner les anciens fichiers de sauvegarde et les fichiers non référencés pour les informations sensibles
  5. Enumérer les interfaces d'administration de l'infrastructure et de l'application
  6. Tester les méthodes HTTP
  7. Tester HTTP Strict Transport Security
  8. Tester la politique de domaine croisé RIA
  9. Tester les permissions de fichiers
  10. Tester la prise de contrôle de sous-domaine
  11. Tester le stockage Cloud
4. Test de gestion des identités
  1. Tester les définitions de rôle
  2. Tester le processus d'enregistrement des utilisateurs
  3. Tester le processus de provisionnement des comptes
  4. Test de l'énumération des comptes et des comptes utilisateurs devinables
  5. Test de la politique de nom d'utilisateur faible ou non appliquée
5. Test d'authentification
  1. Test du transport des informations d'identification sur un canal chiffré
  2. Test des informations d'identification par défaut
  3. Test du mécanisme de verrouillage faible
  4. Test de contournement du schéma d'authentification
  5. Test de la vulnérabilité du mot de passe mémorisé
  6. Test des faiblesses du cache du navigateur
  7. Test de la politique de mot de passe faible
  8. Test de la question/réponse de sécurité faible
  9. Test des fonctionnalités de modification ou de réinitialisation de mot de passe faibles
  10. Test de l'authentification plus faible dans un canal alternatif
6. Test d'autorisation
  1. Test de traversée de répertoire/inclusion de fichier
  2. Test de contournement du schéma d'autorisation
  3. Test d'escalade de privilèges
  4. Test des références d'objets directs non sécurisées
7. Test de la gestion de session
  1. Test du schéma de gestion de session
  2. Test des attributs de cookies
  3. Test de la fixation de session
  4. Test des variables de session exposées
  5. Test de la falsification de requête intersite (CSRF)
  6. Test de la fonctionnalité de déconnexion
  7. Test du délai d'expiration de la session
  8. Test de la confusion de session
  9. Test du détournement de session
8. Test de validation des entrées
  1. Test du Cross Site Scripting Réfléchi
  2. Test du Cross Site Scripting Stocké
  3. Test de l'altération du verbe HTTP
  4. Test de la pollution des paramètres HTTP
  5. Test de l'injection SQL
  6. Test pour Oracle
  7. Test pour MySQL
  8. Test pour SQL Server
  9. Test PostgreSQL
  10. Test pour MS Access
  11. Test pour NoSQL Injection
  12. Test pour ORM Injection
  13. Test côté client
  14. Test de l'injection LDAP
  15. Test de l'injection XML
  16. Test de l'injection SSI
  17. Test de l'injection XPath
  18. Test de l'injection IMAP/SMTP
  19. Test de l'injection de code
  20. Test de l'inclusion de fichier local
  21. Test de l'inclusion de fichier distant
  22. Test de l'injection de commande
  23. Test de l'injection de chaîne de format
  24. Test des vulnérabilités incubées
  25. Test du fractionnement/contrebande HTTP
  26. Test des requêtes HTTP entrantes
  27. Test de l'injection d'en-tête d'hôte
  28. Test de l'injection de modèle côté serveur
  29. Test de la falsification de requête côté serveur (SSRF)
9. Test de la gestion des erreurs
  1. Test de la gestion incorrecte des erreurs
  2. Test des traces de pile
10. Test de la cryptographie faible
  1. Test de la sécurité faible de la couche de transport
  2. Test de l'oracle de padding
  3. Test des informations sensibles envoyées via des canaux non chiffrés
  4. Test du chiffrement faible
11. Test de la logique métier
  1. Introduction à la logique métier
  2. Tester la validation des données de la logique métier
  3. Tester la capacité à falsifier des requêtes
  4. Tester les contrôles d'intégrité
  5. Test de la synchronisation des processus
  6. Tester le nombre de fois qu'une fonction peut être utilisée
  7. Test du contournement des flux de travail
  8. Tester les défenses contre l'utilisation abusive des applications
  9. Tester le téléchargement de types de fichiers inattendus
  10. Tester le téléchargement de fichiers malveillants
12. Test côté client
  1. Test du Cross-Site Scripting basé sur le DOM
  2. Test de l'exécution JavaScript
  3. Test de l'injection HTML
  4. Test de la redirection d'URL côté client
  5. Test de l'injection CSS
  6. Test de la manipulation des ressources côté client
  7. Test du partage de ressources inter-origines (CORS)
  8. Test du Cross-Site Flashing
  9. Test du Clickjacking
  10. Test des WebSockets
  11. Test de la messagerie Web
  12. Test du stockage du navigateur
  13. Test de l'inclusion de script inter-sites
13. Test de l'API
  1. Test de GraphQL
Reporting
Annexe
1. A. Ressources d'outils de test
2. B. Lectures suggérées
3. C. Vecteurs de fuzzing
4. D. Injection encodée
5. E. Historique
6. F. Utilisation des outils de développement