La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès.

Présentations similaires


Présentation au sujet: "S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès."— Transcription de la présentation:

1 S ÉCURITÉ I NFORMATIQUE Asp.net

2 P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès

3 T OPOLOGIE D UNE APPLICATION WEB

4 C ATÉGORIES DE FAILLES Le WASC établie dans son rapport « WASC Threat Classification » une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport. 1. La catégorie « authentification » regroupe les attaques de sites Web dont la cible est le système de validation de lidentité dun utilisateur, dun service ou dune application. 2. La catégorie « autorisation » couvre lensemble des attaques de sites Web dont la cible est le système de vérification des droits dun utilisateur, dun service ou dune application pour effectuer une action dans lapplication. 3. La catégorie « attaques côté client » rassemble les attaques visant lutilisateur pendant quil utilise lapplication.

5 C ATÉGORIES DE FAILLES 4. La catégorie « exécution de commandes » englobe toutes les attaques qui permettent dexécuter des commandes sur un des composants de larchitecture du site Web. 5. La catégorie « révélation dinformations » définit lensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. 6. La catégorie « attaques logiques » caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles.

6 S OLUTIONS À LA LOGIQUE DE L APPLICATION Chaque attaque est différente Exploite la logique de lapplication Difficile à détecter Exemples: Acheter un livre de -20$ Créer un million dusagers et écrire des messages Enlever le câble réseau au milieu dune partie déchec Exploite une faille ) )

7 S OLUTIONS AUX PROBLÈMES DE SÉCURITÉ Authentification Canal de communication sécurisé (https)

8 S OLUTIONS AUX PROBLÈMES D AUTHENTIFICATION Authentification Réauthentification à des intervalles sécurisés Permission des usagers Authentifier le client Authentifier le serveur

9 V ÉRIFICATION DES DONNÉES - (SQL I NJECTION ) V ÉRIFICATION DES DONNÉES - EXÉCUTION DE COMMANDES (SQL I NJECTION ) Une faille dinjection se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes inhabituelles ou accéder à des données non autorisées.

10 V ÉRIFICATION DES DONNÉES (SQL I NJECTION )

11

12

13 Les différentes attaques citées précédemment reposent principalement sur lutilisation de caractères spécifiques qui permettent de mettre en commentaire des portions de code et dinsérer du code frauduleux. Il est cependant rare que lapplication ait besoin daccepter les caractères suivant. [& ~ " # ' { } ( [ ] ( ) - | ` _ \ \ * /., ; : ! $ ]

14 V ÉRIFICATION DES DONNÉES (SQL I NJECTION ) Cependant les applications Web de gestion de contenu comme les forums doivent les accepter, notamment les forums utilisés par les développeurs pour partager du code. Dans ce cas, il faut transformer aux moins les caractères suivants en code HTML avant de les stocker dans la base de données. Laffichage de linformation ne sera pas différent pour lutilisateur, mais les données seront plus sûres. Bien quun site puisse subir différents types dattaques par injection, il suffit de vérifier que les caractères utilisés sont ceux attendus. Ce contrôle doit être effectué au niveau du client grâce à JavaScript et au niveau du serveur lorsque les paramètres sont récupérés pour fermer la faille de sécurité. Méfiez vous des procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur.

15 XSS)) V ÉRIFICATION DES DONNÉES - ATTAQUES CÔTÉ CLIENT (C ROSS SITE SCRIPTING (XSS)) Les failles de Cross-Site Scripting (XSS) se produisent chaque fois qu'une application prend des données non fiables et les envoie à un navigateur Web sans validation. XSS permet à des attaquants d'exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l'utilisateur vers des sites malveillants.

16 XSS)) V ÉRIFICATION DES DONNÉES (C ROSS SITE SCRIPTING (XSS))

17

18 S OLUTION À LA VÉRIFICATION DES DONNÉES Valider les données de lusager sur le serveur Web et/ou sur le serveur dapplications Limiter la taille de lentrée Refuser les caractères spéciaux \ / ; - Accepter seulement les caractères nécessaires & & < < > > " " ' ' / / Gérer les permissions sur la basé de données usagers, rôles, permissions

19 P HISHING ( HAMEÇONNAGE )

20 S OLUTION AU P HISHING ( HAMEÇONNAGE ) Filtrer le spam Authentification du serveur Éduquer les utilisateurs

21 G OOGLE H ACK Google est devenu un instrument de piratages. Faites attention aux informations accessible par Google. Exemple: intitle:index.of."parent directory"

22 S OLUTION AUX ATTAQUES PAR FORCE BRUTE Autres techniques

23 O UTILS POUR DÉTECTER LES FAILLES Commercial Tools Acunetix WVS by Acunetix Acunetix WVS AppScan by IBM AppScan Burp Suite Professional by PortSwigger Burp Suite Professional Hailstorm by Cenzic Hailstorm N-Stalker by N-Stalker N-Stalker Nessus by Tenable Network Security Nessus NetSparker by Mavituna Security NetSparker NeXpose by Rapid7 NeXpose NTOSpider by NTObjectives NTOSpider ParosPro by MileSCAN Technologies ParosPro Retina Web Security Scanner by eEye Digital Security Retina Web Security Scanner WebApp360 by nCircle WebApp360 WebInspect by HP WebInspect WebKing by Parasoft WebKing Websecurify by GNUCITIZEN Websecurify Software-as-a-Service Providers AppScan OnDemand by IBM AppScan OnDemand ClickToSecure by Cenzic ClickToSecure QualysGuard Web Application Scanning by Qualys QualysGuard Web Application Scanning Sentinel by WhiteHat Sentinel Veracode Web Application Security by Veracode Veracode Web Application Security VUPEN Web Application Security Scanner by VUPEN Security VUPEN Web Application Security Scanner WebInspect by HP WebInspect WebScanService by Elanize KG WebScanService Free / Open Source Tools Arachni by Tasos Laskos Arachni Grabber by Romain Gaucher Grabber Grendel-Scan by David Byrne and Eric Duprey Grendel-Scan Paros by Chinotec Paros Andiparos Zed Attack Proxy Powerfuzzer by Marcin Kozlowski Powerfuzzer SecurityQA Toolbar by iSEC Partners SecurityQA Toolbar Skipfish by Michal Zalewski Skipfish W3AF by Andres Riancho W3AF Wapiti by Nicolas Surribas Wapiti Watcher by Casaba Security Watcher WATOBO by siberas WATOBO Websecurify by GNUCITIZEN Websecurify Zero Day Scan

24 T RAVAIL PRATIQUE Dans le documents OWASP_Top_10_2013_- _French.pdf, chaque étudiant doit faire une recherche pour approfondir un point et le présenter aux autres. Voici ce qu'ils doivent faire: Introduction Présentation du problème Environnement affectés Exemple de cas Comment faire pour éviter cette faille Conclusion


Télécharger ppt "S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès."

Présentations similaires


Annonces Google