LabEx
EntrerRejoindre

Trouver des identifiants de connexion exposés

WiresharkBeginner
Pratiquer maintenant

Introduction

Dans ce défi, vous endosserez le rôle d'un spécialiste en sécurité réseau chargé d'enquêter sur une fuite de données potentielle au sein de votre entreprise. Votre mission consiste à analyser le trafic réseau à l'aide de Wireshark afin de déterminer si des identifiants d'utilisateurs ont été transmis en clair, ce qui pourrait expliquer comment des informations sensibles ont été compromises.

Ce défi vous demande d'examiner des fichiers de capture de paquets (PCAP) de communications réseau récentes pour traquer les identifiants de connexion exposés. En appliquant des techniques d'analyse de paquets, vous identifierez les cas où des noms d'utilisateur et des mots de passe ont pu être transmis sans chiffrement approprié, soulignant ainsi l'importance cruciale des protocoles sécurisés pour la gestion des données d'authentification.

Trouver des identifiants de connexion exposés

Votre entreprise a détecté une fuite de données potentielle. En tant que spécialiste de la sécurité réseau, vous devez analyser le trafic réseau récent pour déterminer si des identifiants d'utilisateurs ont été transmis en clair, ce qui pourrait expliquer l'origine de la fuite.

Tâches

  • Créer un filtre d'affichage pour trouver les paquets HTTP contenant les mots 'user', 'pass' ou 'login'
  • Identifier et extraire tous les identifiants exposés
  • Documenter les identifiants découverts selon le format requis

Exigences

  • Ouvrez le fichier de capture de paquets situé à l'emplacement /home/labex/project/network_analysis/company_traffic.pcap à l'aide de Wireshark

  • Créez un filtre d'affichage qui ne montrera que les paquets HTTP contenant des informations d'identification potentielles

  • Votre filtre doit rechercher les mots 'user', 'pass' ou 'login' dans les paquets HTTP

  • Enregistrez votre filtre pour vérification en cliquant sur le bouton "+" dans la barre de filtre après avoir testé son bon fonctionnement

  • Une fois les identifiants trouvés, enregistrez-les dans un fichier nommé /home/labex/project/network_analysis/found_credentials.txt en respectant ce format :

    username: [found username]
password: [found password]

Exemples

Lorsque vous appliquez le bon filtre, Wireshark ne doit afficher que les paquets contenant des informations d'identification. Vous devriez voir quelque chose comme ceci :

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

En examinant les détails du paquet, vous devriez être en mesure de voir les informations d'identification en clair :

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Votre fichier found_credentials.txt devrait ressembler à ceci :

username: labby
password: hacker

Conseils

  • Lancez Wireshark depuis le terminal en utilisant la commande wireshark
  • Pour ouvrir le fichier de capture, utilisez File > Open et naviguez jusqu'à l'emplacement du fichier
  • La barre de filtre d'affichage se trouve en haut de la fenêtre Wireshark
  • Pour rechercher plusieurs termes en utilisant la logique OU, utilisez le symbole tube (|)
  • N'oubliez pas que les données HTTP peuvent apparaître dans différentes parties du paquet, effectuez donc une recherche sur l'ensemble du contenu du paquet
  • Les filtres Wireshark sont sensibles à la casse par défaut
  • Vous pouvez créer le fichier d'identifiants en utilisant n'importe quel éditeur de texte comme nano ou gedit
✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai appris à utiliser Wireshark pour analyser le trafic réseau et identifier les vulnérabilités de sécurité potentielles liées à l'exposition des identifiants. La tâche consistait à examiner un fichier PCAP du trafic réseau d'une entreprise pour localiser les cas où les identifiants des utilisateurs étaient transmis en clair, ce qui pouvait expliquer une fuite de données détectée.

Grâce à une inspection minutieuse des paquets, j'ai découvert du trafic HTTP contenant des informations de connexion non chiffrées, plus précisément une requête POST incluant des valeurs de nom d'utilisateur et de mot de passe en texte brut. Cet exercice a mis en évidence l'importance critique de l'utilisation de protocoles chiffrés (comme HTTPS) pour la transmission d'informations sensibles, car les identifiants non chiffrés peuvent être facilement capturés et exploités par des acteurs malveillants surveillant le trafic réseau.

Connexe Wireshark Cours
Wireshark pour débutants

Wireshark pour débutants

cybersecuritywireshark
Analyse de cybersécurité avec Wireshark et Tshark

Analyse de cybersécurité avec Wireshark et Tshark

cybersecuritywireshark