dimanche 18 février 2007

Trouver les adresses des machines de votre entreprise


L’année 2007 sera probablement l’année de la sécurité bafouée à travers votre navigateur et Java Script.

Si vous en doutez encore, imaginez le plus simple :
- vous téléchargez une page depuis un site qui vous plait
- Cette page contient un agréable contenu, mais aussi un programme qui demande à votre navigateur de chercher les machines présentes sur votre réseau
- Ce programme transmet les machines trouvées au site Web depuis lequel vous avez téléchargé cette page.
- Cette étape est la première pour un attaquant dans sa démarche de prise de connaissance des biens que vous possédez dans votre entreprise.

Vous savez qu’il n’est pas difficile de transmettre des données depuis votre navigateur vers le site Web sur lequel vous êtes. Ainsi en cliquant ici et en entrant des adresses autour de celle de votre machine, vous comprendrez qu’un attaquant peut utiliser un tel programme légèrement modifié pour commencer à connaître les machines présentes sur votre réseau.

Cet exemple est décrit ici SPI dynamic
Si vous possédez un petit serveur de test, vous pouvez installer l'exemple décrit ici par Ilia Alshanetsky qui lui n'utilise pas de Java Script.



Aucun commentaire: