Cours/TP n° 1 Installation et configuration dun serveur web
Il est important de bien comprendre que cela peut avoir un impact sur votre système. Si aucune n'erreur n'est signalée l'installation d'Apache est terminée
Développez votre site web avec le framework Django
12 août 2019 Il se peut que vous obteniez un numéro de version légèrement différent (du ... codes d'erreur 404 (page non trouvée) et 403 (accès refusé) ...
Cours PHP Accéléré
12 juil. 2022 Malgré celà on peut trouver son bohneur dans l'API de PHP ... Fatal error: Uncaught Error: Class "IntlDateFormatter" not found in.
SupMTI
coulisses lorsque l'on accède à un site web depuis son navigateur. serveur HTTP de base ne peut pas gérer votre application ce n'est pas son travail.
Dépannage vSphere - VMware vSphere 6.5
24 mai 2018 4 Dépannage de vCenter Server et vSphere Web Client 44 ... La machine virtuelle secondaire ne peut être allumée car il n'existe pas d'hôte ...
SAP Fiori Client 1.4
18 août 2015 Symptôme : vous voyez une page d'erreur indiquant qu'il y a une erreur de certificat. Cause possible : cela peut se produire lorsque Fiori est ...
1. Programmer des API avec Python et Flask Salim Lardjane
Les API (Application Programming Interfaces) Web sont des message d'erreur spécifié dans le code : Error: No id field provided. Please specify an id.
Sage 100 CRM - Guide des spécifications techniques Version 8
peut être nécessaire pour certaines fonctions de Sage 100 CRM i7 Il est possible que des erreurs associées à owaauthdll soient générées.
Analyse de vulnérabilités et évaluation de systèmes de détection d
30 jan. 2013 Keywords : Web applications Web attacks
Failles de sécurité des applications Web Principes parades et
27 sept. 2012 Le navigateur Web ne s'occupe plus que de l'affichage. ... Dans un document HTML la structure de la page peut être représentée par un.
2MiB}+ `2b2`+? /Q+mK2Mib- r?2i?2` i?2v `2 Tm#@
HBb?2/ Q` MQiX h?2 /Q+mK2Mib Kv +QK2 7`QK
i2+?BM; M/ `2b2`+? BMbiBimiBQMb BM 6`M+2 Q` #`Q/- Q` 7`QK Tm#HB+ Q` T`Bpi2 `2b2`+? +2Mi2`bX /2biBMû2 m /ûT¬i 2i ¨ H /BzmbBQM /2 /Q+mK2Mib b+B2MiB}[m2b /2 MBp2m `2+?2`+?2- Tm#HBûb Qm MQM-Tm#HB+b Qm T`BpûbX
6BHH2b /2 bû+m`Biû /2b TTHB+iBQMb q2# S`BM+BT2b-
T`/2b 2i #QMM2b T`iB[m2b /2 /ûp2HQTT2K2Mi
:mBHHmK2 >``v hQ +Bi2 i?Bb p2`bBQM, :mBHHmK2 >``vX 6BHH2b /2 bû+m`Biû /2b TTHB+iBQMb q2# S`BM+BT2b- T`/2b 2i #QMM2b T`iB[m2b /2 /ûp2HQTT2K2MiX kyRkX ?H@yydjeyRjFAILLES DE SECURITE
APPLICATIONS WEB
PRINCIPES,
DEVELOPPEMENT
Date de dernière mise à jour
Version
terminéLicence
Objet du document
ITABLE DES MISES A J
Version du
document Date Objet de la mise à jour1.0 05/12/2011 Création du document
1.1 06/01/2012 Mise à jour
1.2 26/01/2012 Mise à jour et ajout du paragraphe
" Menaces et risques applicatifs »1.3 14/03/2012 Mise à jour
IITABLE DES M
1. INTRODUCTION
2. APPLICATIONS WEB
2.1 Architecture
2.2 Composants du client Web
2.3 Composants serveur
3. FAILLES SECURITE
3.1 Menaces et risques applicatifs
3.2 Injection
3.3 Cross
3.43.5 Référence directe non séc
3.6 Falsification de requête inter
3.7 Mauvaise configuration de sécurité
3.8 Stockage de données cryptographiques non sécurisé
3.9 Défaillance dans la restriction des accès à une URL
3.10 Protection insuffisante de la couche transport
3.11 Redirection et renvois non validés
4. BONNES PRATIQUES
4.1 Règles de développement
4.2 Configuration des composants serveur
4.3 Audit
5. CONCLUSION
5.1 Constat
5.2 Perspectives
6. BIBLIOGRAPHIE
IIITABLE DES
Figure 1
Figure 2
Figure 3
Figure 4
Figure 5
Figure 6
Figure 7
Figure 8
Figure 9
Figure 10 ...
Figure 11
Figure 12
Figure 13
Figure 14
Figure 15
Figure 16
Figure 17
Figure 18
Figure 19
Figure 20
Figure 21
Figure 22
Figure 23
Figure 24
Figure 25
Figure 26
Figure 27
Figure 28
Figure 29
Figure 30
11. Introduction
Web ettre est une agence rattachée au s et publiques dont le but est de sensibiliser les entreprises et qui publie des recueils de bonnes pratiques de sécurité pour le WebOpen Web Application Se
organisations et les personnes sur les risques liés à la sécurité ce biaisr Les exemples sont écrits pour un environnement Et enfin un recueil de bonnes pratiques permettra de se prémuni 2 2. A2.1 Architecture
2.1.1 Le réseau Internet et ses protocoles
L transmission de données sur Internet. [1]Figure Internet
La ping » et "traceroute » [2] réémettre tout le message, mais uniquement le paquet. etComme indiqué par
[3] s L. Shklar et R. Rosen. Web Application Architecture: Principles, Protocols and Practices. [2] S. Gulati.Magazine Crossroads 6, article 3, 2000
G.Florin et S.Natkin. Support de cours . CNAM, 884p, 2007 3 e courrier électronique un message, la requête, au serveur communications entre requ navigateurs intègrent le système requête.Figure
2.1.2 Evolution des architectures applicatives
Les applications Web
emble des informations, exécutait afficher les résultats. La machine était passive. Ce mode de fonctionnement est le même que ent/serveur. Le client pouvaient http 4 TML peuvent utiliser les mêmes services2.1.3 Web 2.0
J. Governo [4]
mise à isateur média (texte, vidéo, musique). Internet a permis de mettre en rel le Web est devenu le support du Web 2.0 qui a permis de mettre en relation des personnes. graphique2.2 Composants
2.2.1 Le navigateur
Dans les architectures citées précédemment http texte, le navigateur envoie une GET [5] standardiser toutes les innovations développées pour [4] J. Governor, DWeb 2.0 Architectures. C. PorteneuveBien développer pour le Web 2.0 : Bonnes pratiques Ajax. 5Figure
données XML M partie du Web 2.0.2.2.2 Les scripts
des langages de scripts et des extensions aux navigateurs.générés par les objets de la page. Il permet en fait de modifier la page HTML sans envoyer de
intègre cet objet. Cela permet de communiquer de manière asynchrone avec le serveur, ce que conjointement les technologies XHTML, Javascript et CSS. 6Figure
Des éditeurs tels que
2.3 Composants serveur
2.3.1 6HUYHXUV JHN HP VHUYHXUV G·MSSOLŃMPLRQ
Comme évoqué pré
optio méthode P fonctionnent indépendamment du serveur http, ilCGI (
extérieure appelé " serveur http. Cela peut être du C++, du Perl ou même Java. Il faut seulement que le programme puisse être les requêtes de script basé pour être exécutées. script d 7Microsoft
ASé pour les exemples du présent document.
2.3.2 Serveurs de données
Les données étant principalement gérées par des serveurs dédiés, les langages cités
interagir avec eux. Les systèmes de gestion de bases de interroger les données et de les mettre à jour. uvent êtreLDAP de la couche "
83. Failles
3.1 Menaces et risques
3.1.1 7\SHV G·MPPMTXHV
Le WASC
s permettant fins hostiles.3.1.2 Risques de sécurité
Contrairement au WASC
ne traite que de se focaliser sur la protection de application Webétablit le classement
injection correctement, 9 configur URL3.1.3 CRUUHVSRQGMQŃHV HQPUH OHV GpILQLPLRQV GH O·2J$63 HP GX J$6F
Le tableau ci
Risques identifiés par
en 2010 Attaques identifiées par le WASC en 2010 CatégoriesInjection
Cross-Site Scripting
10Violation de Gestion
et de SessionRéférence directe à un
objet non sécuriséeFalsification de
requêtes inter-sitesGestion de
configuration non sécuriséeStockage de données
non sécuriséDéfaillance de
à une URL
Communications
non sécuriséesRedirection et renvoi
non validésFigure OWASP
113.2 Injecti
3.2.1 Principe
la va de la simple récupération de données à la prise totale de [6] . Ce [7] personnelt envoyer rendant le risque plus3.2.2 ([HPSOHV G·MPPMTXH
pour faire en sorte que la requê inutilisable ou de supprimer toutes les données de la table visée bancaires enregistrées script de création de cette table est le suivantCREATE TABLE IF NOT EXISTS
int(11) NOT NULL AUTO_INCREMENT COMMENT varchar(30) NOT NULL COMMENT varchar(41) NOT NULL, varchar(30) NOT NULL COMMENT varchar(30) NOTPRIMARY KEY
UNIQUE KEY
ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;Figure
Pour afficher le numéro de carte
[6] M. Contensin. formation PHP/MySQL [7] J. Scambray, V. Liu et C. Sima. Hacking Exposed Web Applications: Web Application Security . Osborne/McGraw H. Dwivedi, A. Stamos, Z. Lackey et R. Cannings. Hacking Exposed Web 2.0: Web 2.0 Security 12SELECT
FROM WHEREAND PASSWORD(
Figure
Le script
Figure En remplissant le formulaire' OR 1=1 » nom » et ot de passe, la requête qui sera envoyée à la base de donnéesSELECT FROM WHERE OR
Figure
Ain -- ». Cela permet donc de récupérer aléatoirement un numéro [9] r à des informations privées qui sontrequête LDAP qui sera générée, il est possible de récupérer la liste exhaustive des adresses de
treprise pour les saturer de spam par exemple.CGI écrits en Perl, PHP et Shell. Il est possible de prendre le contrôle du serveur. Il faut pour
serveur. Les fichie Z.POPL'06 Conference, ACM SIGPLAN Notices, p372
13 fonctionnalité peut être exploitée en plaçant un fich3.2.3 Parade et bonnes pratiques
Les différentes attaques citées précédemm de caractères spécifiques qui permettent de mettre en commentaire des portions de code etFigure
Cependant les applications Web de gestion de contenu comme les forums doivent les mais les données seront plus sûres. il suffit de vérifier Figure De plus il faut vérifier que les valeurs sont bien du type et du format attendu (longueur, failles SQL dans son bulletin de sécurité ou des requêtes ayant pour paramètres des valeurs inappropriées. 143.3 Cross
3.3.1 Principe
la vulnérabilité à principalementA CERTA
la victime, [10]également une
[11]XSS par réflexion (Web
exploiter par XSS. dont un desFigure
attaque ss car le code pe [10] Y.Computer Networks, pages 739
[11] A. Kiezun, P. J. Guo, K. Jayaraman, M. D. Ernst.ICSE, pages
15Figure
3.3.2 ([HPSOHV G·MPPMTXH
LXSS par réflexion
forum intègrent des formulaires pour recherche des messages par leur contenu. La page deFigure
En cliquant sur ce lien, la victime lancera la recherche. Puis le moteur de recherche affichera es . Un courrier malveillant peut taque de type forum support de la démonstration est la suivanteCREATE TABLE IF NOT EXISTS
in(11) NOT NULL AUTO_INCREMENT COMMENT int(11) NOT NULL COMMENT varchar(30) NOT NULL COMMENT varchar(4000) NOT NULL COMMENT PR ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=6 ;Figure
Le script PHP un message. Comme une des
16Figure dans la table "
En saisissant comme message un code JavaScript malveillant, il sera enregistré dans laFigure
Lorsque des utilisateurs afficheront le fil des messages, le message fraud3.3.3 Parade et bonnes pratiques
sont valables pour XSS. & AE AE AE AE AEFigure
Côté client avec
de cookie HTTPOnly , 17 navigateurs les plus popula Figure Les navigateurs intègrent des protections contre XSS eJavaScript qui modifie u
183.4 9LROMPLRQ GH JHVPLRQ G·MXPOHQPLILŃMPLRQ HP GH VHVVLRQ
3.4.1 Principe
Cette faille de sécurité regroupe toutes les vulnérabilités pou Ces points de faiblesse dans les applications Web peuvent ouvrir à des droit normalement. Cela peut donc leur permettre de le bon fonctionnement lication, ce qui implique que ces systèmes le plus commun ces informations au serveur wLe serveur web fait appel à un service pour vérifier la validité du couple identifiant/mot de
Si la validité est avérée, le serveur
Comme expliqué précédemment http est un protocole déconnec champteurLes a accès
Les usurpations.
Figure
3.4.2 ([HPSOHV G·MPPMTXH
authentification des mots de passe pour cet utilisateur 19 temps. service Un pour de valeurs sur différentes applications Web. de chercher des couples identifiant/mot de passe présents ant passe nne est censée connaître ar la force brute est authentifié.par un attaquant en écoutant la transmission de données sur le réseau, en consultant
uthentifie. La3.4.3 Parade et bonnes pratiques
longueur applications critiques. De plus il doit comporter au moins un chiffre, une lettre en minuscule un problème de validitéidenti 20 après se reconnecter. Une session doit également avoir une durée de vie maximale au sée. Ces pour se pré uels, comme un nombre important de requêtequotesdbs_dbs14.pdfusesText_20[PDF] le nigeria
[PDF] le nombre d'étudiants au senegal
[PDF] le nouveau gouvernement ivoirien au complet
[PDF] le nouveau secondaire haitien
[PDF] le nouveau taxi 1 corrigés du cahier d'exercices pdf
[PDF] le nouvel entrainez-vous
[PDF] le pacs est il reconnu au usa
[PDF] le pacte international relatif aux droits économiques
[PDF] le parfum baudelaire commentaire
[PDF] le parisien
[PDF] le parisien fait divers stupefiant
[PDF] le parisien journal
[PDF] le parisien magazine du vendredi
[PDF] le parisien magazine pdf gratuit