Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité :...
Transcript of Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité :...
![Page 1: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/1.jpg)
![Page 2: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/2.jpg)
![Page 3: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/3.jpg)
![Page 4: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/4.jpg)
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-161.pdf
![Page 5: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/5.jpg)
CEH (5 phases présentées en 4!!!)
![Page 6: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/6.jpg)
![Page 7: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/7.jpg)
![Page 8: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/8.jpg)
![Page 9: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/9.jpg)
![Page 10: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/10.jpg)
![Page 11: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/11.jpg)
![Page 12: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/12.jpg)
![Page 13: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/13.jpg)
![Page 14: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/14.jpg)
![Page 15: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/15.jpg)
![Page 16: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/16.jpg)
![Page 17: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/17.jpg)
![Page 18: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/18.jpg)
![Page 19: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/19.jpg)
![Page 20: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/20.jpg)
Netcraft : affiche version du serveur web, applications, etc.
Shodan : ports ouverts …..
![Page 21: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/21.jpg)
![Page 22: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/22.jpg)
Scénario – Réponse à un incident de sécurité :
Réception d’un courriel d’hameçonnage
Contient des données : IP, mail server, lien URL, le fichier joint malveillant, etc.
Comment OSINT sera déclenché ?
Collecte d’information sur le web (adresses IP, DNS, noms de domaine, mail
serveur, IOC)
Collecte d’informations si IP malveillante, blacklist, reliées à d’autres attaques?
Avec outils spécialisés : surveiller enregistrements nouveaux domaines par les
propriétaires des noms de domaine malveillants, etc.
http://www.isaca.org/cyber/cyber-security-articles/Pages/looking-back-to-look-
forward-osint-based-adversary-analysis.aspx?utm_referrer=
![Page 23: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/23.jpg)
![Page 24: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/24.jpg)
![Page 25: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/25.jpg)
![Page 26: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/26.jpg)
![Page 27: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/27.jpg)
![Page 28: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/28.jpg)
![Page 29: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/29.jpg)
Pour cette section, on présente certaines configurations qui permettent
directement de contrer les activités de reconnaissance…
Attention !! Le but n’est pas de faire de l’endurcissement (Hardening) ici !! C’est
simplement quelques petits changements aux configurations par défaut qui,
on le pense sont très payant car ils permettent de venir compliquer la vie des
hackers et leur utilisation d’outils de plus en plus automatisés, mais qui
nécessite
d’obtenir une information précise pour être efficace.
Nous ne verrons pas toutes les recommandations mais certaines!
![Page 30: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/30.jpg)
![Page 31: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/31.jpg)
![Page 32: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/32.jpg)
![Page 33: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/33.jpg)
![Page 34: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/34.jpg)
Autres commandes :
wget -q -S IP
telnet IP 80
![Page 35: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/35.jpg)
![Page 36: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/36.jpg)
![Page 37: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/37.jpg)
![Page 38: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/38.jpg)
![Page 39: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/39.jpg)
![Page 40: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/40.jpg)
![Page 41: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/41.jpg)
User-agent: The specific web crawler to which you’re giving crawl instructions
(usually a search engine). Voir : http://www.robotstxt.org/db.html
Disallow: The command used to tell a user-agent not to crawl particular URL.
Only one "Disallow:" line is allowed for each URL.
Allow (Only applicable for Googlebot): The command to tell Googlebot it can
access a page or subfolder even though its parent page or subfolder may be
disallowed.
https://moz.com/learn/seo/robotstxt
![Page 42: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/42.jpg)
![Page 43: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/43.jpg)
http://www.robotstxt.org/robotstxt.html
![Page 44: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/44.jpg)
La sécurité offensive!!!!!
![Page 45: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/45.jpg)
![Page 46: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/46.jpg)
![Page 47: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/47.jpg)
![Page 48: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/48.jpg)
![Page 49: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/49.jpg)
![Page 50: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/50.jpg)
![Page 51: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/51.jpg)
![Page 52: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/52.jpg)
![Page 53: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/53.jpg)
footprinting (recon+énumération de bannière) = rechercher/trouver de
l'information
scanning (balayages) = inspecter les murs, les portes et les fenêtres pour
trouver des failles pour pouvoir entrer plus tard
(exploitation = illégal au Canada 342.3 Code Criminel canadien)
https://laws-lois.justice.gc.ca/fra/lois/C-46/page-75.html?txthl=342#s-342
![Page 54: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/54.jpg)
![Page 55: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/55.jpg)
https://www.youtube.com/watch?v=DkOx_jO8R7s
![Page 56: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/56.jpg)
https://nmap.org/nsedoc/index.html
![Page 57: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/57.jpg)
![Page 58: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/58.jpg)
/etc/proxychains.conf
Ajouter des IP Proxy web + port
Lancement du scan :
proxychains nmap -sS <IP address>
![Page 59: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/59.jpg)
![Page 60: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/60.jpg)
nmap -v --spoof-mac fausseMAC IP
nmap -v -sT -PN --spoof-mac 0 IP
nmap -v -S IPorigine Ipdestination
nmap -v -n -Ddecoy.IP1,decoyIP2…
nmap –v -D RND:5 IP = risque de SYN flooding la cible
nmap -v -f IP
nmap -v -sS -f --mtu 32 -T5 IP_victime
nmap -sS -T4 -A -f IP
nmap -mtu 8 IP (8 bytes le paquet)
nmap -v --scan_delay 11s IP
![Page 61: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/61.jpg)
![Page 62: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/62.jpg)
![Page 63: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/63.jpg)
![Page 64: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/64.jpg)
![Page 65: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/65.jpg)
![Page 66: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/66.jpg)
![Page 68: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/68.jpg)
Un WAF n’offre pas en soit une protection complète pour sécuriser un serveur
web mais il a tout à fait sa place dans une stratégie de défense en
profondeur.
ModSecurity, par sa flexibilité, sa communauté et son intégration, est un WAF
Open Source très intéressant !
Phase 1 = Entête de la requête
• Le serveur Web vient de lire l’entête de la requête.
• Il n’a pas encore lu le contenu (body) de la requête.
• Il ne connaît pas encore les arguments contenus dans la requête.
• Toute règle s’exécutant en phase 1 intervient avant que le serveur soit en
mesure de faire quelque chose.
Exemples de règles en phase 1:
• décider si le corps de la requête doit être traité plus en détail.
• définir comment le corps doit être traité (en XML ?)
Phase 2 : corps de la requête
• Nous disposons désormais des arguments de la requête.
![Page 69: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/69.jpg)
• Les règles de filtrage ou de rejets liées à des applications doivent intervenir à
ce niveau .
Phase 3 : entête de la réponse
• Cette phase intervient juste avant que les entêtes des réponses parviennent
au client.
• Les règles de filtrage permettent de définir ce qu’il doit advenir de la « future »
réponse.
• On décide si l’on veut analyser le contenu/corps de la réponse ou la bloquer.
• A ce niveau, nous ne savons pas encore ce que le serveur va retourner…
Phase 4 : corps de la réponse
A ce niveau, ModSecurity analyse les informations renvoyées à destination du
client.
• Le contenu HTML est analysé pour détecter :
• des fuites d’informations.
• des messages d’erreurs.
• des traces d’authentifications ayant échouées.
• etc.
Phase 5 : journalisation
• Les règles déclarées à ce niveau interviennent seulement sur la manière dont
la journalisation doit s’opérer.
• Cette phase peut être utilisée pour analyser les messages d’erreur enregistrés
par Le serveur Web.
• Elle permet également d’inspecter des entêtes de réponse qui n’étaient pas
accessibles en phases 3 et 4.
• Il est trop tard pour interdire ou bloquer des connexions
![Page 70: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/70.jpg)
![Page 71: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/71.jpg)
Open Web Application Security Project (OWASP)
![Page 72: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/72.jpg)
![Page 73: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/73.jpg)
![Page 74: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/74.jpg)
![Page 75: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/75.jpg)
![Page 76: Présentation PowerPoint - SéQCure · Scénario –Réponse à un incident de sécurité : Réception d’un courriel d’hameçonnage Contient des données : IP, mail server, lien](https://reader033.fdocuments.net/reader033/viewer/2022060523/60537113a3d59122ba2b64c4/html5/thumbnails/76.jpg)