Introduction Depuis le début des sites web les urls sont utilisé pour la navigation. Avec l’arrivée des bases de données, les urls ont prit de l’importance.

Slides:



Advertisements
Présentations similaires
DOSSIER TICE 2006 MASSON Wendy 1 ère année sciences du langage
Advertisements

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
pour les applications Web :
A4.1.1 Proposition dune solution applicative A4.1.2 Conception ou adaptation de linterface utilisateur dune solution applicative A4.1.2 Conception ou.
Cadre (« framework ») de lutilisateur (client) Cadre (« framework ») du concepteur.
Utilisateur (Client) Jai le choix du site web que je veux consulter. Sil ne mintéresse pas, alors je visiterai le suivant. Concepteur Je ne veux pas que.
PHP Géant Aurélien. PHP (Hypertext Preprocessor) Langage de scripts libre Permet produire des pages Web dynamiques dispose d'un très grand nombre d'API(Application.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Retour dexpérience Supportech INSA.NET Daniel Boteanu – Michaël Piffret.
PRÉSENTATION DU PRODUIT
L’ergonomie des IHM : pourquoi, comment ?
AJAX.
PHP 6° PARTIE : LES SESSIONS 1.Introduction 2.Identificateur de session 3.Variables de session 4.Client / Serveur 5.Principe 6.Ouverture de session 7.Enregistrement.
Module : Pages Web Dynamiques (Production Électronique Avancée)
Permet de simplifier la maintenance d’un site
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
Développement d’un application: Suivi de flux RSS SLAKMON Benjamin.
Evaluation d’architectures pour les sites web utilisant des bases de données Article de Wen-Syan Li, Wang-Pin Hsiung, Oliver Po, K. Selcuk Candan, Divyakant.
► Notre société spécialisée dans la maintenance et le dépannage informatique vous propose ses solutions pour le maintient et la protection de votre parc.
1 Web App Pourquoi une Web App au lieu d’une application native? 26 janvier 2012  Créer une application universelle  Durée de vie « infinie »  Plus.
Présentation site: CNLAPS - Assemblée Générale du 23/05/2014.
SARL créée en 2003 par Olivier Maréchal – Architecte des systèmes d’information. Un intervenant pour les besoins informatiques des entreprises d’aujourd’hui.
Outils bibliographiques Philippe Carrère, UAG 2013.
C LIENT ZÉRO MAIS PUISSANCE D ' ADMINISTRATION MAXIMUM L'expression « administration client zéro » est trompeuse. Elle pourrait laisser croire, à tort,
Espace collaboratif du CODEV Blog, WIKI, Forum: c’est quoi?  Blog - Publication périodique et régulière d’articles La vocation d’un Blog est d'être un.
JI Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.
COMPTE RENDU DU PPE 3 Cyrille Matungulu 1. S OMMAIRE Présentation de la demande du client MFC Choix techniques pour le projet Securisa Etapes du Montage.
Question de gestion 13 : Le document peut-il être vecteur de coopération ? Le document : - Dématérialisation des documents - Partage, mutualisation, sécurisation.
Création d’un site WEB 1 – Un site WEB c’est quoi ? 2 – Questions à se poser avant la construction d’un site WEB 3 – Principes de fonctionnement d’un site.
1) Qu’est-ce que BCDI? BCDI est un logiciel informatique de recherche documentaire : C’est le catalogue informatique du CDI. Au collège on travaille principalement.
Développement d’application avec base de données Semaine 3 : Modifications avec Entité Framework Automne 2015.
Contrôle d'accès au réseau en utilisant NAP NAP = Network Access Protection Pôle Réseaux et Systèmes Windows - IGBMC Guillaume SEITH/Damien LEVEQUE.
V- Identification des ordinateurs sur le réseau??? ? ? ? ?
Freeplane Free mind mapping and knowledge ree mind mapping and knowledge Freeplane Free mind mapping and knowledge ree mind mapping and knowledge.
Introduction à la programmation
Préservation des traces et indices Compétences Comprendre en tant que chef d’équipe les enjeux de la préservation des traces et indices. Version actualisée.
Logiciel de gestion comptable. Introduction Notre mission à été de finaliser et valider une application de gestion des fiches des paies en cours de développement.
 Sensibiliser les gens du problème et des dangers des entrées par infraction.  Faire valoir leur technologie avant-gardiste.
1 Initiation aux bases de données et à la programmation événementielle VBA sous ACCESS Cours N° 1 Support de cours rédigé par Bernard COFFIN Université.
INTRANET.SANTEFRANCAIS.CA ANTOINE DÉSILETS Coordonnateur au réseautage et Agent de communication Formation sur l’utilisation de l’Intranet 1.
Professeur: Halima HOUSNY Chapitre1 Installation de Microsoft Windows XP Professionnel Module S41.
FACTORY systemes Module 5 Page 5-1 Les outils clients Wonderware FORMATION InSQL 7.0.
Violation de Gestion d’authentification et de Session
Spécialisation covariante cours et TP. Plan  Introduction  Rappels théoriques  Définition de la covariance  Présentation du modèle servant d'exemple.
Les méthodes de tests Les grands principes pour réaliser des tests efficaces.
Du panier à la commande client Créer un panier Identification Validation de la commande Paiement Formulaire de création de compte Etats de la commande.
Evaluer un site internet Pour une recherche efficace Journées de rencontres locales des documentalistes de Loire Atlantique
INTERNET #2 Les Protocoles utilisés quotidiennement sur internet http & https POP3 & SMTP IMAP.
Les bases de données CINAHL
A.I.P. Saint Michel 2011 A.I.P. Saint Michel 2011 Inside ASCOM v6 Nicolas CUVILLIER
Supervision EC-Net AX Serveurs Web EC-BOS AX. ARCHITECTURE Les solutions EC-Net AX EC-Net AX Supervisor EC-Net AX EnerVue EC-Net AX Security  EC-Net.
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
Formation Ouverte et A Distance Bureau des expertises techniques, des projets d'infrastructures et de la sécurité des systèmes d'information Parcours de.
Violation de Gestion d'Authentification et de Session
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant.
Section 1 : Le Conseil de l’Europe et les langues Section 2 : Le Centre européen pour les langues vivantes Section 3 : Justification de l’Appel et aperçu.
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 1 Kick-Off Meeting CNIS 2016 Cyber Sécurité : Enjeux et.
Université Ferhat Abbas –Sétif 1 Centre des Systèmes et Réseaux d’Information Et de Communication, de Télé-enseignement et D’Enseignement à Distance Rapport.
FACTORY systemes Module 9 Section 1 Page 9-3 La sécurité d’une application FORMATION INTOUCH 7.0.
INFSO-RI Enabling Grids for E-sciencE Adaptation de GRIDSITE à WEBDAV Cédric Duprilot CNRS/IN2P3/LAL.
ONEMA/DCIEGPA du 17/10/ Interopérabilité Web de la toile Eaufrance GVI mai 2015.
AQPC juin TYPO3 un outil adapté pour soutenir les enseignants dans la production de sites web de cours au Cégep de Sainte-Foy.
Ensemble, éclairons votre réflexion. CONTINUER  NOTRE SAVOIR-FAIRE LES ENQUÊTES PAR INTERNET HERALIS Marketing S.A.S. Tel
Présentation du projet JAVA Système de messagerie instantanée cryptée.
Procédures Framework LDAP
Introduction à Internet
Exploiter le WEB Etape no5.
Accéder au portail privé (itslearning)
Transcription de la présentation:

Introduction Depuis le début des sites web les urls sont utilisé pour la navigation. Avec l’arrivée des bases de données, les urls ont prit de l’importance. Ils permettent d’accéder au contenu d’un site web.

Problème Les urls sans sécurité permettent d’accéder à des zones sensible d’un site web Les pirates peuvent modifier ou détruire les données du site facilement. Il peuvent modifier les droits d’accès des utilisateurs. Il peuvent accéder à des zones simplement en modifiant des paramètre de l’url.

Problème... suite Des amateurs qui se lance dans la conception web peuvent facilement tomber dans les pièges, comme; Caché les zones avec des url compliqués ou invisibles aux visiteurs. L’utilisation de fichier caché, par une application, tel quel les fichier XML.

Environnement affectés Tous les frameworks sont touchés La plupart offres un système de gestion des droits Mais ne peut garantir que tous les concepteurs web l’utiliseront correctement.

Exemple Url qui détermine la langue du site Avec la requête et le paramètre : lang=../../../../etc/passwd%00 Sans protection, il peut avoir accès aux mots de passe <?php $language="entete-en"; if (isset($_GET['lang'])) { $language=$_GET['lang']; } include ("/usr/local/webapp/template/". $language. ".php") ?>

Exemple focus/nouvelles.aspx?cp-documentid= focus/nouvelles.aspx?cp-documentid=

Solution Bien pensé son projet au départ Implémenter un système de rôle (comme asp.net) pour gérer quelque rôle au lieu de beaucoup d’utilisateur. Tester toutes les pages qui doivent être privées Tester, tester, tester... Et encore tester...

Conclusion Ne pas prendre pour acquis que les visiteurs ne trouveront pas nos zones privées. Bien tester son site et le faire tester par des personnes extérieurs au projet.