RECOMMANDATIONS POUR LA MISE EN ŒUVRE DUN SITE
28 avr. 2021 5 Description et mise en œuvre des mécanismes de sécurité web ... 5.7.2 Sécurité des développements JavaScript .
Failles de sécurité des applications Web Principes parades et
Guillaume HARRY l Principales failles de sécurité des applications Web : principes parades et bonnes pratiques de développement. SOMMAIRE. 1. Introduction.
POLITIQUE DE SÉCURITÉ DES SYSTÈMES DINFORMATION DE L
Sécurité du développement des systèmes . DEV-LOG-WEB : améliorer la prise en compte de la sécurité dans les développements Web. Les développements Web ...
GUIDE DE SÉCURITÉ DES APPLICATIONS WEB
12 déc. 2014 DGSSI présente les bonnes pratiques de sécurité des sites web. ... Avec le développement de l'Internet au Maroc les administrations ...
Sécurité des applications Web
Comment maîtriser les risques liés à la sécurité des applications Web ? Septembre 2009 VII - Prise en compte des développements externalisés.
Mise en place dune politique de sécurité applicative : retour d
Le chapitre sur la sécurité des développements était pratiquement vierge. Page 6. 6. 15/12/2011. Conférence Sécurité des Applications Web
MAÎTRISER LES RISQUES DE LINFOGÉRANCE
3 déc. 2010 Les risques en matière de sécurité des systèmes d'information peuvent être ... Pour la mise en œuvre de technologies web les développements ...
OWASP TOP 10 LES DIX VULNÉRABILITÉS DE SÉCURITÉ
Les applications web sécurisées sont seulement possibles quand un SDLC (i.e. Software Development. Life Cycle) sécurisé est utilisé.
Failles de sécurité des applications Web Principes parades et
27 sept. 2012 Ce nouvel outil a été la base du développement du Web. 2.0 et sera intégré à la future norme HTML 5. AJAX (Asynchronous Javascript And XML) est ...
DENY-ALL lance de nouvelles solutions de sécurité pour Internet
8 mars 2002 Les solutions proposées par Deny-All sont issues de plusieurs années de recherches et de développements et ont été éprouvées au plan ...
2MiB}+ `2b2`+? /Q+mK2Mib- r?2i?2` i?2v `2 Tm#@
HBb?2/ Q` MQiX h?2 /Q+mK2Mib Kv +QK2 7`QK
i2+?BM; M/ `2b2`+? BMbiBimiBQMb BM 6`M+2 Q` #`Q/- Q` 7`QK Tm#HB+ Q` T`Bpi2 `2b2`+? +2Mi2`bX /2biBMû2 m /ûT¬i 2i ¨ H /BzmbBQM /2 /Q+mK2Mib b+B2MiB}[m2b /2 MBp2m `2+?2`+?2- Tm#HBûb Qm MQM-Tm#HB+b Qm T`BpûbX
6BHH2b /2 bû+m`Biû /2b TTHB+iBQMb q2# S`BM+BT2b-
T`/2b 2i #QMM2b T`iB[m2b /2 /ûp2HQTT2K2Mi
:mBHHmK2 >``v hQ +Bi2 i?Bb p2`bBQM, :mBHHmK2 >``vX 6BHH2b /2 bû+m`Biû /2b TTHB+iBQMb q2# S`BM+BT2b- T`/2b 2i #QMM2b T`iB[m2b /2 /ûp2HQTT2K2MiX kyRkX ?H@yydjeyRjFAILLES DE SECURITE
APPLICATIONS WEB
PRINCIPES,
DEVELOPPEMENT
Date de dernière mise à jour
Version
terminéLicence
Objet du document
ITABLE DES MISES A J
Version du
document Date Objet de la mise à jour1.0 05/12/2011 Création du document
1.1 06/01/2012 Mise à jour
1.2 26/01/2012 Mise à jour et ajout du paragraphe
" Menaces et risques applicatifs »1.3 14/03/2012 Mise à jour
IITABLE DES M
1. INTRODUCTION
2. APPLICATIONS WEB
2.1 Architecture
2.2 Composants du client Web
2.3 Composants serveur
3. FAILLES SECURITE
3.1 Menaces et risques applicatifs
3.2 Injection
3.3 Cross
3.43.5 Référence directe non séc
3.6 Falsification de requête inter
3.7 Mauvaise configuration de sécurité
3.8 Stockage de données cryptographiques non sécurisé
3.9 Défaillance dans la restriction des accès à une URL
3.10 Protection insuffisante de la couche transport
3.11 Redirection et renvois non validés
4. BONNES PRATIQUES
4.1 Règles de développement
4.2 Configuration des composants serveur
4.3 Audit
5. CONCLUSION
5.1 Constat
5.2 Perspectives
6. BIBLIOGRAPHIE
IIITABLE DES
Figure 1
Figure 2
Figure 3
Figure 4
Figure 5
Figure 6
Figure 7
Figure 8
Figure 9
Figure 10 ...
Figure 11
Figure 12
Figure 13
Figure 14
Figure 15
Figure 16
Figure 17
Figure 18
Figure 19
Figure 20
Figure 21
Figure 22
Figure 23
Figure 24
Figure 25
Figure 26
Figure 27
Figure 28
Figure 29
Figure 30
11. Introduction
Web ettre est une agence rattachée au s et publiques dont le but est de sensibiliser les entreprises et qui publie des recueils de bonnes pratiques de sécurité pour le WebOpen Web Application Se
organisations et les personnes sur les risques liés à la sécurité ce biaisr Les exemples sont écrits pour un environnement Et enfin un recueil de bonnes pratiques permettra de se prémuni 2 2. A2.1 Architecture
2.1.1 Le réseau Internet et ses protocoles
L transmission de données sur Internet. [1]Figure Internet
La ping » et "traceroute » [2] réémettre tout le message, mais uniquement le paquet. etComme indiqué par
[3] s L. Shklar et R. Rosen. Web Application Architecture: Principles, Protocols and Practices. [2] S. Gulati.Magazine Crossroads 6, article 3, 2000
G.Florin et S.Natkin. Support de cours . CNAM, 884p, 2007 3 e courrier électronique un message, la requête, au serveur communications entre requ navigateurs intègrent le système requête.Figure
2.1.2 Evolution des architectures applicatives
Les applications Web
emble des informations, exécutait afficher les résultats. La machine était passive. Ce mode de fonctionnement est le même que ent/serveur. Le client pouvaient http 4 TML peuvent utiliser les mêmes services2.1.3 Web 2.0
J. Governo [4]
mise à isateur média (texte, vidéo, musique). Internet a permis de mettre en rel le Web est devenu le support du Web 2.0 qui a permis de mettre en relation des personnes. graphique2.2 Composants
2.2.1 Le navigateur
Dans les architectures citées précédemment http texte, le navigateur envoie une GET [5] standardiser toutes les innovations développées pour [4] J. Governor, DWeb 2.0 Architectures. C. PorteneuveBien développer pour le Web 2.0 : Bonnes pratiques Ajax. 5Figure
données XML M partie du Web 2.0.2.2.2 Les scripts
des langages de scripts et des extensions aux navigateurs.générés par les objets de la page. Il permet en fait de modifier la page HTML sans envoyer de
intègre cet objet. Cela permet de communiquer de manière asynchrone avec le serveur, ce que conjointement les technologies XHTML, Javascript et CSS. 6Figure
Des éditeurs tels que
2.3 Composants serveur
2.3.1 6HUYHXUV JHN HP VHUYHXUV G·MSSOLŃMPLRQ
Comme évoqué pré
optio méthode P fonctionnent indépendamment du serveur http, ilCGI (
extérieure appelé " serveur http. Cela peut être du C++, du Perl ou même Java. Il faut seulement que le programme puisse être les requêtes de script basé pour être exécutées. script d 7Microsoft
ASé pour les exemples du présent document.
2.3.2 Serveurs de données
Les données étant principalement gérées par des serveurs dédiés, les langages cités
interagir avec eux. Les systèmes de gestion de bases de interroger les données et de les mettre à jour. uvent êtreLDAP de la couche "
83. Failles
3.1 Menaces et risques
3.1.1 7\SHV G·MPPMTXHV
Le WASC
s permettant fins hostiles.3.1.2 Risques de sécurité
Contrairement au WASC
ne traite que de se focaliser sur la protection de application Webétablit le classement
injection correctement, 9 configur URL3.1.3 CRUUHVSRQGMQŃHV HQPUH OHV GpILQLPLRQV GH O·2J$63 HP GX J$6F
Le tableau ci
Risques identifiés par
en 2010 Attaques identifiées par le WASC en 2010 CatégoriesInjection
Cross-Site Scripting
10Violation de Gestion
et de SessionRéférence directe à un
objet non sécuriséeFalsification de
requêtes inter-sitesGestion de
configuration non sécuriséeStockage de données
non sécuriséDéfaillance de
à une URL
Communications
non sécuriséesRedirection et renvoi
non validésFigure OWASP
113.2 Injecti
3.2.1 Principe
la va de la simple récupération de données à la prise totale de [6] . Ce [7] personnelt envoyer rendant le risque plus3.2.2 ([HPSOHV G·MPPMTXH
pour faire en sorte que la requê inutilisable ou de supprimer toutes les données de la table visée bancaires enregistrées script de création de cette table est le suivantCREATE TABLE IF NOT EXISTS
int(11) NOT NULL AUTO_INCREMENT COMMENT varchar(30) NOT NULL COMMENT varchar(41) NOT NULL, varchar(30) NOT NULL COMMENT varchar(30) NOTPRIMARY KEY
UNIQUE KEY
ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;Figure
Pour afficher le numéro de carte
[6] M. Contensin. formation PHP/MySQL [7] J. Scambray, V. Liu et C. Sima. Hacking Exposed Web Applications: Web Application Security . Osborne/McGraw H. Dwivedi, A. Stamos, Z. Lackey et R. Cannings. Hacking Exposed Web 2.0: Web 2.0 Security 12SELECT
FROM WHEREAND PASSWORD(
Figure
Le script
Figure En remplissant le formulaire' OR 1=1 » nom » et ot de passe, la requête qui sera envoyée à la base de donnéesSELECT FROM WHERE OR
Figure
Ain -- ». Cela permet donc de récupérer aléatoirement un numéro [9] r à des informations privées qui sontrequête LDAP qui sera générée, il est possible de récupérer la liste exhaustive des adresses de
treprise pour les saturer de spam par exemple.CGI écrits en Perl, PHP et Shell. Il est possible de prendre le contrôle du serveur. Il faut pour
serveur. Les fichie Z.POPL'06 Conference, ACM SIGPLAN Notices, p372
13 fonctionnalité peut être exploitée en plaçant un fich3.2.3 Parade et bonnes pratiques
Les différentes attaques citées précédemm de caractères spécifiques qui permettent de mettre en commentaire des portions de code etFigure
Cependant les applications Web de gestion de contenu comme les forums doivent les mais les données seront plus sûres. il suffit de vérifier Figure De plus il faut vérifier que les valeurs sont bien du type et du format attendu (longueur, failles SQL dans son bulletin de sécurité ou des requêtes ayant pour paramètres des valeurs inappropriées. 143.3 Cross
3.3.1 Principe
la vulnérabilité à principalementA CERTA
la victime, [10]également une
[11]XSS par réflexion (Web
exploiter par XSS. dont un desFigure
attaque ss car le code pe [10] Y.Computer Networks, pages 739
[11] A. Kiezun, P. J. Guo, K. Jayaraman, M. D. Ernst.ICSE, pages
15Figure
3.3.2 ([HPSOHV G·MPPMTXH
LXSS par réflexion
forum intègrent des formulaires pour recherche des messages par leur contenu. La page deFigure
En cliquant sur ce lien, la victime lancera la recherche. Puis le moteur de recherche affichera es . Un courrier malveillant peut taque de type forum support de la démonstration est la suivanteCREATE TABLE IF NOT EXISTS
in(11) NOT NULL AUTO_INCREMENT COMMENT int(11) NOT NULL COMMENT varchar(30) NOT NULL COMMENT varchar(4000) NOT NULL COMMENT PR ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=6 ;Figure
Le script PHP un message. Comme une des
16Figure dans la table "
En saisissant comme message un code JavaScript malveillant, il sera enregistré dans laFigure
Lorsque des utilisateurs afficheront le fil des messages, le message fraud3.3.3 Parade et bonnes pratiques
sont valables pour XSS. & AE AE AE AE AEFigure
Côté client avec
de cookie HTTPOnly , 17 navigateurs les plus popula Figure Les navigateurs intègrent des protections contre XSS eJavaScript qui modifie u
183.4 9LROMPLRQ GH JHVPLRQ G·MXPOHQPLILŃMPLRQ HP GH VHVVLRQ
quotesdbs_dbs13.pdfusesText_19[PDF] Sécurité Routière. réalisation programme
[PDF] SECURITE SANITAIRE ET PROTHESE SOUS TRAITEE A L ETRANGER
[PDF] Segment : Amont Module : Maintenance et mise à niveau de l outil de production Tannerie-Mégisserie TERMES DE RÉFÉRENCE
[PDF] Séjour Bafa - 2015. 17 ans
[PDF] SEJOUR DU : AU : Nom et prénom des enseignants qui partent (souligner le nom de celui qui assure la coordination du projet) :
[PDF] SEJOURS PEDAGOGIQUES EN FRANCE OU A L ETRANGER
[PDF] Selon le cahier des surfaces brutes SIA de l architecte, le projet serait réparti comme suit :
[PDF] Selon leur statut, les candidats sont soumis au contrôle en cours de formation ou au contrôle ponctuel
[PDF] Semaine régionale de la Création, Reprise, Transmission
[PDF] Séminaire d introduction au droit international humanitaire 24-26 mars 2014
[PDF] Séminaire Les rituels à l école maternelle. La construction de repères du temps dans les activités ritualisées
[PDF] SEMINAIRE. FAIRE FACE AU SURENDETTEMENT DES LOCATAIRES : Stratégies, méthodes et organisation pour éviter l expulsion et préserver sa créance
[PDF] Séminaires Développement & Carrières
[PDF] Seniors en Vacances OFFREZ DU BIEN-ÊTRE À VOS SENIORS. Parce que les vacances, c est essentiel.