Programmation orientée sécurité

Cette page contient les supports de cours et de TPs dispensés dans le cadre du module POS du parcours FIIL de l'université ParisSud et du module 4INFOS8ProSec de l'INSA de Rennes (syllabus du module). Ces supports servent aussi de base à quelques interventions de la VAP (voie d'approfondissement) SSR (sécurité systèmes et réseaux) du cursus d'ingénieur à Télécom SudParis.

Cours

• Introduction au cours
• Présentation des projets bibliographiques (uniquement pour l'INSA)
• Exemple de rendu pour un projet bibliographique (uniquement pour l'INSA)
• Description de vulnérabilités classiques
• Quelques éléments de réponse
• Mind your languages: Langages de développement et sécurité
• Programmation dans un contexte web

TP sur les vulnérabilités

On considère tout d'abord des programmes d'authentification en ligne (un attaquant ne peut interagir avec eux que via l'entrée et la sortie standard).

Étudiez chaque programme d'authentification ci-dessous pour en trouver la faille et l'exploiter. Expliquez ensuite comment corriger le programme pour qu'il ne soit plus vulnérable:

• 01-login.sh
• 02-login.sh
• 03-login.py (et son fichier de mots de passe 03-passwords.txt)
• 04-login.c (et son Makefile associé, à lancer avec make -f 04-Makefile)

Les programmes suivants présentent chacun un défaut classique de programmation. Identifiez le problème et trouvez un moyen de le détecter à l'aide du compilateur (gcc ou clang).

• 05-string-test.c
• 06-dead-code.c
• 07-format.c

Un exemple pas-à-pas d'une race condition:

• 08a-write-secret.c
• 08b-write-secret.c
• 08c-write-secret.c
• 08d-write-secret.c

Un nouveau défi avec un programme d'authentification, dans un premier temps avec un accès aux sources, puis sur un programme compilé:

• 09-login.c
• 09-challenge

On s'intéresse à un nouveau programme d'authentification qui supporte des domaines (realms). Pour cela, vous aurez besoin des fichiers suivants:

• 0a-auth.sh, le programme lui-même
• main, un fichier texte à placer dans /tmp, qui décrit le domaine main
• users.db, un fichier texte à placer dans /tmp, qui décrit la base de données des utilisateurs

On suppose que le programme suivant tourne sous l'identité root, et que vous pouvez lui fournir les arguments de votre choix. Il contient une faille assez classique, que l'on trouve souvent dans le monde web. Quelle est cette faille ? À quoi peut-elle servir pour un attaquant ? Proposez des contremesures (dans le code et dans l'architecture).

• 0b-write-tmp.c

TP sur les dépassements de tampon

• Le sujet
• Fiche de référence pour GDB
• Tutoriel GDB
• Machine virtuelle
• Fichiers nécessaires au TP

TP noté

• Sujet

Quelques fichiers en noir et blanc que mon implémentation accepte (sur certains fichiers, votre interprétation peut diverger) :

• A.mp
• black.mp
• split-black.mp
• uneven-dimensions.mp
• unordered_A.mp

Quelques fichiers en noir et blanc que mon implémentation refuse (là encore, il y a au moins un fichier qui est discutable) :

• wrong-magic.mp
• broken-dimensions.mp
• broken-dimensions2.mp
• missing-data.mp
• missing-header.mp

Des exemples en niveaux de gris, en couleur et avec palette (le dernier est a priori invalide) :

• gray.mp
• damier.mp
• french-flag.mp
• french-palette.mp


• german-flag-palette.mp
• german-flag-error-palette.mp

Biblio

Quelques références

• L'article original Smashing The Stack For Fun And Profit dans Phrack par AlephOne, décrivant le débordement de tampon dans la pile
• Java Puzzlers: Traps, Pitfalls, and Corner Cases de Joshua Bloch et Neal Gafter, aux éditions Addison-Wesley Professional, qui présente de nombreux exemples surprenants en Java
• Un billet de blog sur quelques avertissements intéressants de gcc
• Quelques conseils pour écrire des scripts shell robustes
• Top 10 de l'OWASP
• Les options pour faire du compilateur C un ami qui vous veut du bien (article MISC)

Études sur les langages à l'ANSSI

• Le projet JavaSec, sur l'adéquation du langage Java au développement sécurisé
• Le projet LaFoSec, présentant des travaux similaires sur les langages fonctionnels
• L'article Mind your Languages publié lors du workshop LangSec en marge de IEEE SSP 2014, qui présente d'une manière rédigée les idées présentées dans le cours du même nom
• Deux présentations autour de Mind your languages: aux Matinales de l'Innovation Logiciel libre et Sécurité en 2014 et à HES 2015

Autres ressources

• The Daily WTF
• Vidéo montrant quelques aspects surprenants de Ruby et de JavaScript
• Sujet de TP sur une faille noyau

---

Olivier Levillain - modifié le 28 mars 2019