Roadmap TI Web

Boite noire

Résolution IP/Nom de domaine

Afin de vérifier si les cibles tournent sur un seul ou plusieurs serveurs, il peut être intéressant de résoudre leur IP :

host $DOMAIN_NAME

Analyse des protocoles

sudo nmap $IP -p- -sC -sV -oA $OUTPUT

Technologies utilisées

Pour comprendre comment est construit une application, il convient d’étudier les technologies qui la compose :

Enumération de ressources

ffuf -c -w $WORDLIST -u $URL/FUZZ -fc $CODES_TO_FILTER -e $EXTENSIONS -recursion -recursion-depth 3 -o $OUTPUT_FILE

Énumération de paramètres cachés

Wordlists préférées : Params [Github] & Arjun [Github]

TO DO (se baser sur cet article)

Configuration SSL/TLS

testssl $URL

En-têtes de sécurité

Récupérer les en-têtes de sécurité et analyser les suivantes :

  • x-frame-option
  • x-content-type-options
  • x-xss-protection
  • strict-transport-security
  • content-security-policy
curl -k -s -D - -o /dev/null $URL

Redirection du trafic non chiffré

curl -D - http://$URL

Vérifier que la réponse du serveur est bien un code 301 avec un en-tête location qui pointe vers la version HTTPS.

Présence d’un WAF

wafw00f $URL

Réinitialisation de mot de passe

Voir la partie consacrée à cette attaque : [Réinitialisation de mot de passe]

Boite grise

Enumération de ressources (authentifié)

On touche un peu au cloisonnement, mais il s’agit ici de reproduire l’énumération de la boite noire avec un cookie ou token de session afin de constater d’éventuels changements.

Politique de mots de passe

Déclencher

Cookies

Regarder les attributs de sécurité des cookies de session, en particulier :

  • SameSite : doit être à Lax ou Strict
  • HttpOnly : doit être à True
  • Secure : doit être à True

Injections

SQL

Façon rapide : capture de requêtes potentiellement intéressantes depuis Burp, puis rejeu de ces dernières avec SQLMap

sqlmap -r request.txt --batch --dbms $DBMS --level=$VALUE --risk=$VALUE

XSS

SSTI

Faire des premiers tests avec la chaîne polyglot suivante :

Ou essayer avec ces autres payloads :

SSRF

XXE

Défauts de cloisonnement

Utilisation des modules AuthMatrix ou Autorise de BurpSuite afin de constater les potentiels défauts de cloisonnement.