Identifier l'empreinte du serveur Web

Comment identifier le type et la version d'un serveur web en utilisant des techniques telles que la capture de bannière, l'envoi de requêtes malformées et l'utilisation d'outils de scan automatisés.

ID
WSTG-INFO-02

Résumé

L'identification de l'empreinte du serveur web est la tâche consistant à identifier le type et la version du serveur web sur lequel une cible s'exécute. Bien que l'identification de l'empreinte du serveur web soit souvent encapsulée dans des outils de test automatisés, il est important pour les chercheurs de comprendre les principes fondamentaux de la façon dont ces outils tentent d'identifier les logiciels, et pourquoi cela est utile.

Découvrir avec précision le type de serveur web sur lequel une application s'exécute peut permettre aux testeurs de sécurité de déterminer si l'application est vulnérable aux attaques. En particulier, les serveurs exécutant des versions plus anciennes de logiciels sans correctifs de sécurité à jour peuvent être sensibles à des exploits spécifiques à une version connus.

Objectifs du test

Déterminer la version et le type d'un serveur web en cours d'exécution pour permettre une découverte plus approfondie des vulnérabilités connues.

Comment tester

Les techniques utilisées pour l'identification de l'empreinte du serveur web incluent la capture de bannière, l'obtention de réponses à des requêtes malformées et l'utilisation d'outils automatisés pour effectuer des analyses plus robustes qui utilisent une combinaison de tactiques. La prémisse fondamentale sur laquelle toutes ces techniques fonctionnent est la même. Elles s'efforcent toutes d'obtenir une réponse du serveur web qui peut ensuite être comparée à une base de données de réponses et de comportements connus, et ainsi correspondre à un type de serveur connu.

Capture de bannière

Une capture de bannière est effectuée en envoyant une requête HTTP au serveur web et en examinant son en-tête de réponse. Cela peut être accompli en utilisant une variété d'outils, y compris `telnet` pour les requêtes HTTP, ou `openssl` pour les requêtes via TLS/SSL.

Par exemple, voici la réponse à une requête envoyée à un serveur Apache.

HTTP/1.1 200 OK
Date: Thu, 05 Sep 2019 17:42:39 GMT
Server: Apache/2.4.41 (Unix)
Last-Modified: Thu, 05 Sep 2019 17:40:42 GMT
ETag: "75-591d1d21b6167"
Accept-Ranges: bytes
Content-Length: 117
Connection: close
Content-Type: text/html
...

Voici une autre réponse, cette fois envoyée par nginx.

HTTP/1.1 200 OK
Server: nginx/1.17.3
Date: Thu, 05 Sep 2019 17:50:24 GMT
Content-Type: text/html
Content-Length: 117
Last-Modified: Thu, 05 Sep 2019 17:40:42 GMT
Connection: close
ETag: "5d71489a-75"
Accept-Ranges: bytes
...

Voici à quoi ressemble une réponse envoyée par lighttpd.

HTTP/1.0 200 OK
Content-Type: text/html
Accept-Ranges: bytes
ETag: "4192788355"
Last-Modified: Thu, 05 Sep 2019 17:40:42 GMT
Content-Length: 117
Connection: close
Date: Thu, 05 Sep 2019 17:57:57 GMT
Server: lighttpd/1.4.54

Dans ces exemples, le type et la version du serveur sont clairement exposés. Cependant, les applications soucieuses de la sécurité peuvent masquer leurs informations de serveur en modifiant l'en-tête. Par exemple, voici un extrait de la réponse à une requête pour un site avec un en-tête modifié :

HTTP/1.1 200 OK
Server: Website.com
Date: Thu, 05 Sep 2019 17:57:06 GMT
Content-Type: text/html; charset=utf-8
Status: 200 OK
...

Dans les cas où les informations du serveur sont masquées, les testeurs peuvent deviner le type de serveur en fonction de l'ordre des champs d'en-tête. Notez que dans l'exemple Apache ci-dessus, les champs suivent cet ordre :

Date
Server
Last-Modified
ETag
Accept-Ranges
Content-Length
Connection
Content-Type

Cependant, dans les exemples nginx et serveur masqué, les champs en commun suivent cet ordre :

Server
Date
Content-Type

Les testeurs peuvent utiliser ces informations pour deviner que le serveur masqué est nginx. Cependant, étant donné qu'un certain nombre de serveurs web différents peuvent partager le même ordre de champs et que les champs peuvent être modifiés ou supprimés, cette méthode n'est pas définitive.

Envoi de requêtes malformées

Les serveurs web peuvent être identifiés en examinant leurs réponses d'erreur et, dans les cas où ils n'ont pas été personnalisés, leurs pages d'erreur par défaut. Une façon de contraindre un serveur à les présenter est d'envoyer des requêtes intentionnellement incorrectes ou malformées.

Par exemple, voici la réponse à une requête pour la méthode inexistante `SANTA CLAUS` d'un serveur Apache.

GET / SANTA CLAUS/1.1


HTTP/1.1 400 Bad Request
Date: Fri, 06 Sep 2019 19:21:01 GMT
Server: Apache/2.4.41 (Unix)
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1



400 Bad Request

Bad Request
Your browser sent a request that this server could not understand.

Voici la réponse à la même requête de nginx.

GET / SANTA CLAUS/1.1



404 Not Found

404 Not Found
nginx/1.17.3

Voici la réponse à la même requête de lighttpd.

GET / SANTA CLAUS/1.1


HTTP/1.0 400 Bad Request
Content-Type: text/html
Content-Length: 345
Connection: close
Date: Sun, 08 Sep 2019 21:56:17 GMT
Server: lighttpd/1.4.54




 
  400 Bad Request
 
 
  400 Bad Request

Comme les pages d'erreur par défaut offrent de nombreux facteurs de différenciation entre les types de serveurs web, leur examen peut être une méthode efficace pour l'identification, même lorsque les champs d'en-tête du serveur sont masqués.

Utilisation d'outils de scan automatisés

Comme indiqué précédemment, l'identification de l'empreinte du serveur web est souvent incluse comme fonctionnalité des outils de scan automatisés. Ces outils sont capables d'effectuer des requêtes similaires à celles démontrées ci-dessus, ainsi que d'envoyer d'autres sondes plus spécifiques au serveur. Les outils automatisés peuvent comparer les réponses des serveurs web beaucoup plus rapidement que les tests manuels, et utiliser de grandes bases de données de réponses connues pour tenter d'identifier le serveur. Pour ces raisons, les outils automatisés sont plus susceptibles de produire des résultats précis.

Voici quelques outils de scan couramment utilisés qui incluent la fonctionnalité d'identification de l'empreinte du serveur web.

Netcraft, un outil en ligne qui analyse les sites pour obtenir des informations, y compris les détails du serveur web.
Nikto, un outil de scan en ligne de commande Open Source.
Nmap, un outil en ligne de commande Open Source qui a également une interface graphique, Zenmap.

Remédiation

Bien que les informations de serveur exposées ne soient pas nécessairement en elles-mêmes une vulnérabilité, ce sont des informations qui peuvent aider les attaquants à exploiter d'autres vulnérabilités qui peuvent exister. Les informations de serveur exposées peuvent également conduire les attaquants à trouver des vulnérabilités spécifiques à la version du serveur qui peuvent être utilisées pour exploiter des serveurs non corrigés. Pour cette raison, il est recommandé de prendre certaines précautions. Ces actions incluent :

Masquer les informations du serveur web dans les en-têtes, comme avec le module mod_headers d'Apache.
Utiliser un serveur proxy inverse renforcé pour créer une couche de sécurité supplémentaire entre le serveur web et Internet.
S'assurer que les serveurs web sont maintenus à jour avec les derniers logiciels et correctifs de sécurité.

◄ Précédent Suivant ►

く

Table des matières

Avant-propos par Eoin Keary
Frontispice
Introduction
Le cadre de test OWASP
Test de sécurité des applications Web
1. Introduction et objectifs
2. Collecte d'informations
3. Test de gestion de la configuration et du déploiement
  1. Tester la configuration de l'infrastructure réseau
  2. Tester la configuration de la plateforme applicative
  3. Tester la gestion des extensions de fichiers pour les informations sensibles
  4. Examiner les anciens fichiers de sauvegarde et les fichiers non référencés pour les informations sensibles
  5. Enumérer les interfaces d'administration de l'infrastructure et de l'application
  6. Tester les méthodes HTTP
  7. Tester HTTP Strict Transport Security
  8. Tester la politique de domaine croisé RIA
  9. Tester les permissions de fichiers
  10. Tester la prise de contrôle de sous-domaine
  11. Tester le stockage Cloud
4. Test de gestion des identités
  1. Tester les définitions de rôle
  2. Tester le processus d'enregistrement des utilisateurs
  3. Tester le processus de provisionnement des comptes
  4. Test de l'énumération des comptes et des comptes utilisateurs devinables
  5. Test de la politique de nom d'utilisateur faible ou non appliquée
5. Test d'authentification
  1. Test du transport des informations d'identification sur un canal chiffré
  2. Test des informations d'identification par défaut
  3. Test du mécanisme de verrouillage faible
  4. Test de contournement du schéma d'authentification
  5. Test de la vulnérabilité du mot de passe mémorisé
  6. Test des faiblesses du cache du navigateur
  7. Test de la politique de mot de passe faible
  8. Test de la question/réponse de sécurité faible
  9. Test des fonctionnalités de modification ou de réinitialisation de mot de passe faibles
  10. Test de l'authentification plus faible dans un canal alternatif
6. Test d'autorisation
  1. Test de traversée de répertoire/inclusion de fichier
  2. Test de contournement du schéma d'autorisation
  3. Test d'escalade de privilèges
  4. Test des références d'objets directs non sécurisées
7. Test de la gestion de session
  1. Test du schéma de gestion de session
  2. Test des attributs de cookies
  3. Test de la fixation de session
  4. Test des variables de session exposées
  5. Test de la falsification de requête intersite (CSRF)
  6. Test de la fonctionnalité de déconnexion
  7. Test du délai d'expiration de la session
  8. Test de la confusion de session
  9. Test du détournement de session
8. Test de validation des entrées
  1. Test du Cross Site Scripting Réfléchi
  2. Test du Cross Site Scripting Stocké
  3. Test de l'altération du verbe HTTP
  4. Test de la pollution des paramètres HTTP
  5. Test de l'injection SQL
  6. Test pour Oracle
  7. Test pour MySQL
  8. Test pour SQL Server
  9. Test PostgreSQL
  10. Test pour MS Access
  11. Test pour NoSQL Injection
  12. Test pour ORM Injection
  13. Test côté client
  14. Test de l'injection LDAP
  15. Test de l'injection XML
  16. Test de l'injection SSI
  17. Test de l'injection XPath
  18. Test de l'injection IMAP/SMTP
  19. Test de l'injection de code
  20. Test de l'inclusion de fichier local
  21. Test de l'inclusion de fichier distant
  22. Test de l'injection de commande
  23. Test de l'injection de chaîne de format
  24. Test des vulnérabilités incubées
  25. Test du fractionnement/contrebande HTTP
  26. Test des requêtes HTTP entrantes
  27. Test de l'injection d'en-tête d'hôte
  28. Test de l'injection de modèle côté serveur
  29. Test de la falsification de requête côté serveur (SSRF)
9. Test de la gestion des erreurs
  1. Test de la gestion incorrecte des erreurs
  2. Test des traces de pile
10. Test de la cryptographie faible
  1. Test de la sécurité faible de la couche de transport
  2. Test de l'oracle de padding
  3. Test des informations sensibles envoyées via des canaux non chiffrés
  4. Test du chiffrement faible
11. Test de la logique métier
  1. Introduction à la logique métier
  2. Tester la validation des données de la logique métier
  3. Tester la capacité à falsifier des requêtes
  4. Tester les contrôles d'intégrité
  5. Test de la synchronisation des processus
  6. Tester le nombre de fois qu'une fonction peut être utilisée
  7. Test du contournement des flux de travail
  8. Tester les défenses contre l'utilisation abusive des applications
  9. Tester le téléchargement de types de fichiers inattendus
  10. Tester le téléchargement de fichiers malveillants
12. Test côté client
  1. Test du Cross-Site Scripting basé sur le DOM
  2. Test de l'exécution JavaScript
  3. Test de l'injection HTML
  4. Test de la redirection d'URL côté client
  5. Test de l'injection CSS
  6. Test de la manipulation des ressources côté client
  7. Test du partage de ressources inter-origines (CORS)
  8. Test du Cross-Site Flashing
  9. Test du Clickjacking
  10. Test des WebSockets
  11. Test de la messagerie Web
  12. Test du stockage du navigateur
  13. Test de l'inclusion de script inter-sites
13. Test de l'API
  1. Test de GraphQL
Reporting
Annexe
1. A. Ressources d'outils de test
2. B. Lectures suggérées
3. C. Vecteurs de fuzzing
4. D. Injection encodée
5. E. Historique
6. F. Utilisation des outils de développement