Le 14 septembre 2017, nous avons publié une version actualisée de notre Politique de confidentialité. En utilisant video2brain.com vous vous engagez à respecter ces documents mis à jour. Veuillez donc prendre quelques minutes pour les consulter.

Les fondements des réseaux : Les protocoles et les outils CLI

Connaître les failles de sécurité

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Analysez les processus d'authentification pour détecter d'éventuels problèmes de sécurité HTTP. Pour cela, vous utiliserez le navigateur web Firefox et l'analyseur de trames Wireshark.
03:37

Transcription

Nous allons maintenant observer, par la pratique, le fonctionnement de l’HTTP et particulièrement, nous allons zoomer sur l’authentification de type basique. Pour cela, je vais ouvrir mon navigateur web préféré. L’URL est là et là, je vais taper mes identifiants, où est le login, le mot de passe, vous ne le voyez pas. Je n’enregistre pas. Et là, j’arrive sur mon fichier secret, toto.txt. On me dit : LE MOT DE PASSE DE TOTO est AZERTY. C’est un fichier d’exemple. Je vais maintenant ouvrir ma capture et c’est ça qui est intéressant... Je vais d’abord l’arrêter. Je vais filtrer avec HTTP et je vais essayer de comprendre ce qui est arrivé. On voit ici une réponse de la part du serveur, qui est 88.168, 182, c’est ma machine, où j’ai un 401, non autorisé. Je vais regarder la requête, juste en dessous et en l’ouvrant, vous voyez, à la partie couche applicative, HTTP, je vois ici des en-têtes Authorization, avec une chaîne, Basic, c'est-à-dire qu’en fait, là, je suis en train de fournir mes identifiants, et d’ailleurs, Wireshark, lui, nous les affiche, il nous les décode, en fait. Le login, c’est linkedin, le mot de passe, c’est linkedin. Donc qu’est-ce que ça veut dire ? Ça veut dire que ce mécanisme d’authentification basique, porte bien son nom finalement, où c’est une authentification, où il y a un login, où il y a un mot de passe, mais par contre, quand je donne ces informations de mon navigateur à mon serveur web, ces identifiants sont en fait transmis en clair. On va maintenant regarder également un autre exemple. Je vais aller sur un site internet avec un formulaire d’identification à remplir, voilà, sur une autre machine que j’ai créée. Alors, on demande un username et un password. Je vais taper ce que je veux en fait. Je vais taper linkedin. Avant de rentrer le mot de passe, je vais relancer ma capture. Et là, je vais rentrer le mot de passe de mon choix. L’authentification ne va pas fonctionner parce que c’est pas du tout le bon mot de passe, mais par contre je vais quand même envoyer le formulaire à mon serveur web. C’est parti. Alors effectivement, on me renvoie : le login n’est pas bon. Je vais aller dans mon logiciel de capture et je vais regarder un petit peu les trames que j’ai envoyées finalement. Alors, qu’est-ce qu’on a ? Tiens, la première requête ici, POST, login.php. Bon, ça a l’air pas mal, je vous rappelle que la méthode POST, c’est la méthode utilisée justement pour envoyer des données, donc sûrement mon formulaire. On va essayer de l’ouvrir. Alors, on a le protocole HTTP, méthode POST. Et on a même le formulaire en html que nous présente Wireshark, qui est en fait inclus dans le HTTP. Si on reprend le modèle TCP/IP, en fait, ça ce sont vraiment les données qui sont encapsulées dans HTTP. Et dans ce formulaire, qu’est-ce qu’on a ? Le login username linkedin et le mot de passe que j’ai tapé. C’est exactement celui-là. Alors, là où Wireshark est intelligent, c’est que lui va nous présenter les choses assez agréablement, on va dire. Dans cette vidéo, vous avez dû comprendre que le protocole HTTP, à la base, n’est pas basé pour faire de la sécurité, et n’a pas été créé pour ça. que ce soit au niveau de l’authentification ou que ce soit au niveau de la transmission des informations du navigateur vers le serveur. C’est pour cela qu’aujourd’hui, de plus en plus, vous voyez l’apparition de sites en HTTPS, et non plus HTTP.

Les fondements des réseaux : Les protocoles et les outils CLI

Abordez les caractéristiques des protocoles tels que HTTP pour le web, SMTP pour la messagerie, etc. Découvrez également des outils en ligne de commande ou en mode graphique.

2h21 (37 vidéos)
Aucun commentaire n´est disponible actuellement
 
Thématiques :
IT
Administration réseau
Spécial abonnés
Votre/vos formateur(s) :
Date de parution :27 juil. 2017
Durée :2h21 (37 vidéos)

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !