Subscribe:

Ads 468x60px

Featured Posts

28 November 2022

Analyse des vulnérabilités des Apps Android

Selon « OWASP Mobile Security Testing » les phases pour réaliser un pentest d'une application mobile sont les suivantes :

  • Collecte : Cette étape collecte les informations de l'application à analyser. Type d'application, fabricant, versions précédentes, ressources utilisées, etc.
  • Analyse statique : un travail de rétro-ingénierie est effectué sur le binaire lui-même, où nous pouvons obtenir des informations sur les autorisations, les activités principales, les ressources, les erreurs de configuration, les points d'entrée du système, les informations codées en dur (APIkeys ou informations d'identification), etc.
  • Analyse dynamique : un travail de rétro-ingénierie est effectué sur le processus binaire en cours d'exécution, où nous pouvons étudier et obtenir des informations en temps réel sur le comportement de l'application, telles que la connaissance des fichiers qu'elle crée/modifie/accède dans le système, des données sans chiffrer et informations sensibles, analyse des logs, sniffage du trafic réseau généré par l'application, fuzzing pour vérifier d'éventuelles vulnérabilités telles que "Buffer OverFlow" (BoF), "SQL Injection" (SQLi), "Cross-site scripting" (XSS), "Inclusion de fichier local" (LFI), "Exécution de code à distance" (RCE), etc.
En surfant sur le net, nous pouvons trouver de nombreux outils d'analyse des applications Android, et tous sont concentrés sous la même machine virtuelle (MV) appelée "Androl4b". Il s'agit d'une machine virtuelle basée sur le système d'exploitation Ubuntu, et elle est purement axée sur les fonctionnalités de sécurité du système d'exploitation Android. À cette fin, il comprend une collection d'outils de sécurité pour l'ingénierie inverse et l'analyse des logiciels malveillants dans les applications Android, parmi lesquels les plus remarquables sont "Mobile Security Framework" (MobSF), "ByteCodeViewer", "Drozer", "APKtool", "AndroidStudio", "BurpSuite", "MARA", "Wireshark", "FindBugs-IDEA" et "AndroBugs Framework", entre autres. De cette machine virtuelle, il faut noter qu'elle fonctionne parfaitement dans VirtualBox mais pose certains problèmes dans Vmware.

Androlab intègre un ensemble de laboratoires très intéressants pour apprendre à effectuer des analyses de vulnérabilité dans des applications Android telles que Damn Insecure et Vulnérable App for Android (DIVA), InsecureBank v2, DroidBench et GoatDroid. Par exemple, DIVA est composé d'un ensemble d'applications Android intentionnellement programmées pour être vulnérables, et pour sensibiliser les développeurs et les professionnels de la sécurité aux vulnérabilités les plus courantes dans les applications, dues à des pratiques de codage pauvres ou non sécurisées.

À bientôt!!

21 November 2022

F5 APM - Microsoft Exchange 2019


J'ai récemment participé à un projet où le client devait migrer les appliances MS Storefront vers F5 APM. Ils avaient déjà un BIG-IP LTM pour équilibrer la charge des services MS Exchange et ils voulaient déployer un nouveau BIG-IP APM devant le BIG-IP LTM pour sécuriser les services de messagerie tels que OWA, EWS, OAB, ActiveSync et Autodiscover. De plus, ils avaient besoin de SSO pour le service OWA.
 
Exchange Proxy

Au début, le client pensait que le déploiement et la configuration seraient faciles avec une iApp. Cependant, bien qu'il s'agisse d'une configuration facile, les iApps qu'ils connaissaient étaient obsolètes. Nous leur montrons les nouveaux modèles AS3 et FAST mais cette architecture ne correspondait pas à leurs besoins. Par conséquent, nous nous sommes retrouvés dans la configuration guidée de BIG-IP APM où nous avons déployé les services MS Exchange avec SSO sur le site web OWA.
 
F5 APM - Guided Configuration

Nous pouvons regarder dans la vidéo suivante les options de configuration de la configuration guidée mais je n'avais pas de serveur MS Exchange pour les tests. Je suis tellement désolé parce que je ne peux pas montrer que toute la plate-forme fonctionne correctement. Je voudrais souligner que cela fonctionne pour Exchange 2019 mais nous avons dû supprimer certaines iRule du serveur virtuel. Si nous ne supprimons pas ces iRule, la session TCP se réinitialise encore et encore. Par conséquent, la configuration guidée est prête pour Exchange 2013 et Exchange 2016, mais elle peut également fonctionner dans Exchange 2019 avec peu de modifications.
 

D'autre part, nous pouvons également utiliser le modèle AS3 et FAST pour déployer MS Exchange 2019. Cependant, c'est une bonne idée lorsque nous avons LTM et APM dans le même BIG-IP. Peut-être que cela peut aussi fonctionner avec quelques changements mais je n'ai pas essayé de cette façon.
 
F5 Application Services Templates

Passez une bonne journée!!

Related Posts Plugin for WordPress, Blogger...

Entradas populares