Authentification par certificat client sur nginx

Authentification par certificat client sur nginx

Salut à tous, aujourd’hui on m’a demandé de regarder comment faire de l’authentification par certificat x509 sur un serveur Nginx. Je parle bien ici du client, pas du certificat serveur que vous obtenez avec let’s encrypt par exemple. Donc pour accéder au site web l’utilisateur devra présenter un certificat valide de l’AC que vous aurez défini.

Un certifi-quoi ?

Dans les faits, vous utilisez déjà des certificats x509 (délivrés par let’s encrypt, par exemple) pour authentifier votre site auprès de vos utilisateurs (et comme base pour chiffrer la connexion en HTTPS aussi). Ici ce qu’on souhaite faire c’est l’inverse, c’est à dire que le serveur va demander aux utilisateurs de s’authentifier, en présentant un certificat, avant de les laisser accéder au site.

Alors je suis désolé pour ceux qui ne captent rien aux certificats, ce n’est pas l’objet de cet article. Je pars du postula que si vous cherchez à authentifier vos clients par certificats, c’est que vous savez déjà ce que c’est… Sinon, je vous renvoi quand même (je suis sympa) vers ces sources (ici, , , et ) qui ne sont pas trop mauvaises. Mais ne rêvez pas trop, un bon cours sur … Lire la suite

Détecter l’authentification sur un site web

Hacking

Allez aujourd’hui quelques petites commandes pour les équipes qui veulent vérifier ou détecter l’authentification sur les sites web de leur société est bien en place…
Il n’y a pas beaucoup de solution qui font ça « correctement ». Notamment parce que les méthodes d’authentifications varient fortement d’un site à l’autre (formulaire applicatif, SMB/NTLM, HTTP standard, certificat) mais en voilà quelques une pour commencer.

Détecter l’authentification sur un site web

A la main, comme les vieux !

Par exemple, on peut utiliser wget accompagné de grep ou n’importe quel parseur de page web (PhantomJS par exemple) à la recherche de lien ou de champs type « login/mot de passe » :

titi@debian:~$ wget -qO- geekeries.org | grep login | wc -l 
1
titi@debian:~$ # pour le moins vieux, avec curl ça marche aussi...
titi@debian:~$ curl geekeries.org | grep login | wc -l
1

Soit la réponse est zéro, et on n’a pas trouvé de login, soit c’est un ou plus et il existe probablement une authentification par formulaire sur le site. Ce n’est pas super propre et il faut essayer tout ce qu’a pu imaginer le développeur du site comme nom pour les champs de « login » mais ça … Lire la suite