Sécurité Informatique Des applications web. Plan Architecture d’un site Internet Catégories de failles Outils disponibles.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Module 5 : Implémentation de l'impression
Botnet, défense en profondeur
Modélisation des menaces
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Sécurité du Réseau Informatique du Département de l’Équipement
HINARI Ce qu’il faut faire / Ce qu’il faut éviter
Sécurité informatique
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Audit technique et analyse de code
Vue d'ensemble Implémentation de la sécurité IPSec
Xavier Tannier Yann Jacob Sécurite Web.
Les virus informatiques
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Sécurité Informatique
Sécurité Informatique
Failles de sécurité INJECTION
Oct.-2000DESS IIDEE © B. BAH 1 ASP Caractéristiques dun fichier ASP Son extension : « *.asp » La balise: Son indépendance vis à vis de toute plate–forme,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
ManageEngine ADSelfService Plus
Violation de Gestion d’authentification et de Session
Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)
LA SÉCURITE DU RÉSEAU Stéphane Le Gars – Mars
Développement dapplications web Initiation à la sécurité 1.
Formation Microsoft® Office® 2010
Module 1 : Préparation de l'administration d'un serveur
Amélioration de la sécurité des données à l'aide de SQL Server 2005
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Les instructions PHP pour l'accès à une base de données MySql
Xavier Tannier Sécurite Web.
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
WINDOWS Les Versions Serveurs
Module 4 : Création et gestion de comptes d'utilisateur
Création et gestion de comptes d'utilisateur
Développement dapplications web Authentification, session.
Numéro dimmatriculation scolaire de lOntario Connexion à lapplication du NISO Ce que vous devez connaître : Les exigences techniques La sécurité est.
Module 2 : Préparation de l'analyse des performances du serveur
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Javascript JavaScript / Jquery Langage de script (comme PHP) Exécuté par votre navigateur (Firefox, IE,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Les NAC Network Access Control
PHP 5° PARTIE : LES COOKIES
Citrix ® Presentation Server 4.0 : Administration Module 11 : Activation de l'accès Web aux ressources publiées.
Les virus informatiques
Enterprise Java Beans 3.0 Cours INF Bases de Données Hiver 2005, groupe 10 Stefan MARTINESCU.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Institut Supérieur d’Informatique
Module 3 : Création d'un domaine Windows 2000
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
Module 1 : Vue d'ensemble de Microsoft SQL Server
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
Introduction aux outils de supervision
■ Atteindre la base académique ■ Utiliser le site central pour trouver le site de l’établissement: ■ Accepter.
Module 2 : Planification de l'installation de SQL Server
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Sécurité des Web Services
31/05/2007Projet Master 11 Présentation ludique de la recherche opérationnelle à la fête de la science Année universitaire 2006/2007 Sylvain FIX Julien.
Table Ronde Bulletins de Sécurité MS Bulletin de sécurité hors cycle.
Scénario Les scénarios permettent de modifier la position, taille … des calques au cours du temps. Son fonctionnement est très proche de celui de Macromedia.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Installation du PGI – CEGID
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Par Michael Tran Injection. Présentation du problème C’est faire en sorte que l’entrée utilisateur de l’attaquant est considérée de façon spéciale Permet.
Transcription de la présentation:

Sécurité Informatique Des applications web

Plan Architecture d’un site Internet Catégories de failles Outils disponibles

Topologie d’une application web

Votre code fait partie de la sécurité Firewall Hardened OS Web Server App Server Firewall DatabasesLegacy SystemsWeb ServicesDirectoriesHuman ResrcsBilling Custom Developed Application Code APPLICATION ATTACK Par conséquent, la protection de la couche réseau ne sera d’aucune utilité si vous avez des brèches de sécurité (firewall, SSL, IDS, hardening) Network Layer Application Layer

Catégories de failles Le WASC (Web Application Security Consortium) établie dans son rapport « WASC Threat Classification » une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport.WASC 1.La catégorie « authentification » regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application. 2.La catégorie « autorisation » couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application. 3.La catégorie « attaques côté client » rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application.

Catégories de failles 4.La catégorie « exécution de commandes » englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web. 5.La catégorie « révélation d’informations » définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. 6.La catégorie « attaques logiques » caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles.

Authentification – vol des identités de compte utilisateur L’attaque par Force brute (ou Brute Force) automatise un processus d’essais et d’erreurs destiné à deviner le nom d’utilisateur, le mot de passe ou la clé cryptographique d’une personne. L’attaque par authentification insuffisante (ou Insufficient Authentication) permet à un pirate d’accéder à du contenu ou à une fonctionnalité sensible sans authentification appropriée. La faiblesse de la validation de restauration du mot de passe (ou Weak Password Recovery Validation) permet à un pirate d’obtenir, de modifier ou de récupérer de manière illégale le mot de passe d’un autre utilisateur.

Autorisation – accès illégal à des applications La prédiction de certificat/session (ou Credential/Session Prediction) est une méthode pour pirater ou dépersonnaliser un utilisateur. L’attaque par autorisation insuffisante (ou Insufficient Authorization) permet d’accéder à du contenu sensible ou à une fonctionnalité qui devrait exiger davantage de restrictions en matière de contrôle d’accès. L’attaque par expiration de session insuffisante (ou Insufficient Session Expiration) permet à un pirate de réutiliser des certificats ou des identifiants de session périmés pour bénéficier d’une autorisation Des attaques de type Fixation de session (ou Session Fixation) forcent l’identifiant de la session d’un utilisateur sur une valeur explicite.

Attaques côté client – exécution illégale de code étranger L’usurpation de contenu (ou Content Spoofing) leurre un utilisateur en lui faisant croire qu’un certain contenu s’affichant sur un site Web est légitime et qu’il ne provient pas d’une source externe. Le script intersite (ou Cross-site Scripting - XSS) force un site Web à relayer le code exécutable fourni par un pirate et à le charger dans le navigateur Web de l’utilisateur.

Exécution de commandes – prise de contrôle d’une application Web Les attaques par débordement de la mémoire tampon (ou Buffer Overflow) altèrent le flux d’une application en écrasant certaines parties de la mémoire. Une attaque de type Format String altère le flux d’une application en utilisant les fonctionnalités d’une bibliothèque de formatage de chaînes pour accéder à un autre espace mémoire.(user=')][('1'='1) Les attaques par injection LDAP exploitent les sites Web en construisant des instructions LDAP à partir des informations saisies par l’utilisateur.

Exécution de commandes – prise de contrôle d’une application Web La prise de contrôle à distance du système d’exploitation (ou OS Commanding) exécute des commandes du système d’exploitation sur un site Web en manipulant les données entrées dans l’application. L’injection de code SQL construit des instructions SQL sur une application de site Web à partir des informations saisies par l’utilisateur. L’injection SSI (Server-Side Include) envoie du code dans une application Web qui est ensuite exécutée localement par le serveur Web. L’injection XPath construit des requêtes XPath à partir des informations saisies par un utilisateur.(user=' or '1'='1)

Divulgation d’informations – affichage des données sensibles pour les pirates L’indexation de répertoires (ou Directory Indexing) est une fonction automatique de serveur Web pour le listage/l’indexation de répertoires qui affiche tous les fichiers d’un répertoire demandé en l’absence du fichier de base normal. Une fuite d’informations se produit lorsque un site Web divulgue des données sensibles telles que les commentaires d’un développeur ou des messages d’erreur, ce qui peut aider un pirate à exploiter le système. Une attaque par traversée de répertoires (ou Path Traversal) force l’accès aux fichiers, dossiers et commandes pouvant se trouver en dehors du dossier racine du document Web. Une attaque sur les lieux prévisibles des ressources (ou Predictable Resource Location) révèle le contenu et les fonctionnalités cachés d’un site Web.

Attaques logiques – interférence avec l’utilisation de l’application Une attaque par abus de fonctionnalités (ou Abuse of Functionality) utilise les propres caractéristiques et fonctionnalités d’un site Web pour consumer, détourner ou faire échouer les mécanismes de contrôle d’accès. Les attaques par déni de service (ou Denial of Service - DoS) empêchent un site Web de satisfaire l’activité normale d’un utilisateur.

Attaques logiques – interférence avec l’utilisation de l’application On parle de mesures d’anti-automatisation insuffisantes (ou Insufficient Anti-automation) lorsqu’un site Web permet à un pirate d’automatiser un processus qui ne devrait pouvoir être exécuté que manuellement. Une validation de processus insuffisante (ou Insufficient Process Validation) permet à un pirate de contourner ou de faire échouer le flux légitime d’une application.

Détecter les vulnérabilités des applications Web Il n’existe pas de solution miracle pour détecter les vulnérabilités des applications Web. Pour ce faire, la stratégie est la même que l’approche multicouche utilisée pour garantir la sécurité sur un réseau. La détection et la remédiation de certaines vulnérabilités impose l’analyse du code source, en particulier pour les applications Web. La détection des autres vulnérabilités peut également nécessiter des tests de pénétration sur site. La plupart des vulnérabilités courantes des applications Web peuvent également être détectées à l’aide d’un scanner automatisé.

Outils pour détecter les failles Commercial Tools Acunetix WVS by Acunetix Acunetix WVS AppScan by IBM AppScan Burp Suite Professional by PortSwigger Burp Suite Professional Hailstorm by Cenzic Hailstorm N-Stalker by N-Stalker N-Stalker Nessus by Tenable Network Security Nessus NetSparker by Mavituna Security NetSparker NeXpose by Rapid7 NeXpose NTOSpider by NTObjectives NTOSpider ParosPro by MileSCAN Technologies ParosPro Retina Web Security Scanner by eEye Digital Security Retina Web Security Scanner WebApp360 by nCircle WebApp360 WebInspect by HP WebInspect WebKing by Parasoft WebKing Websecurify by GNUCITIZEN Websecurify Software-as-a-Service Providers AppScan OnDemand by IBM AppScan OnDemand ClickToSecure by Cenzic ClickToSecure QualysGuard Web Application Scanning by Qualys QualysGuard Web Application Scanning Sentinel by WhiteHat Sentinel Veracode Web Application Security by Veracode Veracode Web Application Security VUPEN Web Application Security Scanner by VUPEN Security VUPEN Web Application Security Scanner WebInspect by HP WebInspect WebScanService by Elanize KG WebScanService Free / Open Source Tools Arachni by Tasos Laskos Arachni Grabber by Romain Gaucher Grabber Grendel-Scan by David Byrne and Eric Duprey Grendel-Scan Paros by Chinotec Paros Andiparos Zed Attack Proxy SecurityQA Toolbar by iSEC Partners SecurityQA Toolbar Skipfish by Michal Zalewski Skipfish W3AF by Andres Riancho W3AF Wapiti by Nicolas Surribas Wapiti Watcher by Casaba Security Watcher WATOBO by siberas WATOBO Websecurify by GNUCITIZEN Websecurify Zero Day Scan

Travail pratique Dans le documents OWASP_Top_10_2013_-_French.pdf, chaque étudiant doit faire une recherche pour approfondir un point et le présenter aux autres. Voici ce qu'ils doivent faire: Introduction Présentation du problème Environnement affectés Exemple de cas Comment faire pour éviter cette faille Conclusion

Période de questions Est-ce que vous avez des questions.