|
Écrit par Administrator
|
|
Dimanche, 27 Mars 2011 07:52 |
|
LA SECURITE WEB
LES ATTAQUES POSSIBLES
|
L’abus de Ressources.
(Robot IRC)
|
|
La destruction de données
|
|
La publication de données confidentielles
|
|
Le détournement du site (Whois, URL créée dans le but de nuire à un autre site, site web transformé en un site FTP pirate, zombie utilisé dans un déni de service distribué)
|
|
L’usurpation d’identité (cookie ou la session d’un utilisateur)
|
|
La mise à mal de l’image de marque du site
|
QUESTION A SE POSER POUR LA SECURISATION
|
les informations ont-elles intérêt à transiter par le réseau avant d’être retournées à votre site ?
|
|
Le code est il simple, n’y a-t-il pas de faille a exploiter ?
|
|
Les données entrées sont elles renvoyées à l’utilisateur si contiennent une erreur ?
|
|
vulnérabilité est découverte publiée sur un site de référence de la sécurité Mitre ou SecurityFocus ?
|
|
La sécurité par l’obscurité ?( aucun affichage d’erreur, pas de page de type « à propos de », aucun cookie caractéristique de PHP, pas d’en-tête serveur X—Powered-by)
|
|
La défense en profondeur (MVC) ?
|
|
Filtrer les données entrantes ?
|
|
Le concept d’injection ? (XSS, injections SQL, concaténation de chaînes.)
|
|
Le piège des jeux de caractères ?
|
|
Suivre les données ? (faire la différence entre une variable qui a été validée et une autre qui est encore brute, système de filtrage sous forme de bibliothèque externe, qui se charge à chaque début de script, placer les variables validées dans un autre tableau global $_CLEAN, $_VALIDATED, $_SAFE, $_PROPRE), variable a été validée pour un contexte $_SQL,
$_HTML et/ou $_URL
|
|
Protéger les données sortantes ? (l’éradication de code JavaScript, balises inopinées dans les pages HTML, des caractères spéciaux SQL, LDAP, Shell, URL et XML)
|
|
Les audits de code ?
|
|
Modérer le contenu ?
|
|
Veiller par les logs
|
|
De la nécessité de se tenir à jour ?
mettre à jour l’application avec la nouvelle version ou bien désactiver la directive PHP allow_url_fopen
|
|
Se méfier aussi des navigateurs ?
|
|
Les aspects légaux de la sécurité ?
|
|
Prototype d’une injection HTML ?
|
|
Attaques par moteur de recherche ?
|
|
Neutralisation des caractères spéciaux ?
|
|
Les balises <iframe> et <frame> ?
|
|
Les balises JavaScript (XMLHttpRequest)
|
LE BTS EN INFORMATIQUE
|
|
Mise à jour le Jeudi, 21 Avril 2011 10:02 |
Developpement informatique
