Sécurité Informatique

Slides:



Advertisements
Présentations similaires
CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
Advertisements

Botnet, défense en profondeur
ASP.NET 2.0 et la sécurité Nicolas CLERC
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.
Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © Sébastien GIORIA.
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Le développement d’applications sous Lotus Notes
Audit technique et analyse de code
Xavier Tannier Yann Jacob Sécurite Web.
TP 3-4 BD21.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Sécurité Informatique
Failles de sécurité INJECTION
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés
Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)
Mauvaise configuration sécurité
Développement dapplications web Initiation à la sécurité 1.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Administration de SharePoint
Applications Chapitre B17 et C18
Les instructions PHP pour l'accès à une base de données MySql
Xavier Tannier Sécurite Web.
Le protocole FTP.
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Les relations clients - serveurs
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
WINDOWS Les Versions Serveurs
Développement dapplications web Authentification, session.
D. Buchs, A. Chen, D. Hurzeler, L. Lúcio, L. Pedro, M. Risoldi Software Modeling and Verification group Applications Discovered = Appear Save or Discard.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Javascript JavaScript / Jquery Langage de script (comme PHP) Exécuté par votre navigateur (Firefox, IE,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Document élaboré à Centrale Paris par Pascal Morenton LES TECHNOLOGIES DU WEB 1. LES PHASES D UN DEPLOIEMENT DE RESEAUX 2. LE LANGAGE HTML 3. LE LANGAGE.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Les NAC Network Access Control
SRS Day – Conférence 17 novembre 2010 Par : Cyril Amar – amar_c Rémi Chaintron – chaint_r Romain Léonard – leonar_r Arthur Obriot – obriot_a Tom Pineau.
CENTRALISATION DES CANDIDATS LOCATAIRES
PHP 5° PARTIE : LES COOKIES
0 Objectifs de la session n°1  Revenir sur toutes les bases théoriques nécessaires pour devenir un développeur Web,  Découvrir l’ensemble des langages.
Lyda tourisme Process en PHP. Objectif Il s’agit de construire un segment de process dans un système d’information touristique.
GESTION DE COMPOSANTS ELECTRONIQUES
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Institut Supérieur d’Informatique
Page 1Dernière mise à jour: 17 avril 2015 Service de l'enseignement des technologies de l'information, © HEC Montréal, Tous droits réservés.
B2i école : domaines, aptitudes et pistes d’activités
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
 Formulaires HTML : traiter les entrées utilisateur
Centralisation des sites web d’ELTA & Mise en place d’un serveur NAS
Module 1 : Vue d'ensemble de Microsoft SQL Server
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
Sécurité des systèmes d’information: Web Security & Honeypots
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
PPE N°3 Etude d’une solution de serveur mandataire proxy filtrant
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Sécurité des Web Services
Evaluation d’architectures pour les sites web utilisant des bases de données Article de Wen-Syan Li, Wang-Pin Hsiung, Oliver Po, K. Selcuk Candan, Divyakant.
1 © 2016 Proofpoint, Inc. Le facteur humain 2016 Points clés Charles Rami SE Manager South EMEA
Conception des Sites Web Enseignant : Pr Boubker Sbihi Année
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Sécurité Informatique Des applications web. Plan Architecture d’un site Internet Catégories de failles Outils disponibles.
CCLEANER INSTALLATION ET FONCTIONNEMENT. INTRODUCTION QUELLE EN EST L’UTILITÉ? C’est un excellent outil d’entretien de nos ordinateurs. Gratuit, sur Internet.
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
Par Michael Tran Injection. Présentation du problème C’est faire en sorte que l’entrée utilisateur de l’attaquant est considérée de façon spéciale Permet.
Transcription de la présentation:

Sécurité Informatique Asp.net

Plan Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès

Topologie d’une application web

Catégories de failles Le WASC établie dans son rapport « WASC Threat Classification » une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport. La catégorie « authentification » regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application. La catégorie « autorisation » couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application. La catégorie « attaques côté client » rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application.

Catégories de failles La catégorie « exécution de commandes » englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web. La catégorie « révélation d’informations » définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. La catégorie « attaques logiques » caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles.

Solutions à la logique de l’application Chaque attaque est différente Exploite la logique de l’application Difficile à détecter Exemples: Acheter un livre de -20$ Créer un million d’usagers et écrire des messages Enlever le câble réseau au milieu d’une partie d’échec Exploite une faille http://fr.wikipedia.org/wiki/Vulnérabilité_(informatique) http://cve.mitre.org/data/downloads/

Solutions aux problèmes de sécurité Authentification Canal de communication sécurisé (https)

Solutions aux problèmes d’authentification Réauthentification à des intervalles sécurisés Permission des usagers Authentifier le client Authentifier le serveur

Vérification des données - exécution de commandes (SQL Injection) Une faille d’injection se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes inhabituelles ou accéder à des données non autorisées.

Vérification des données (SQL Injection)

Vérification des données (SQL Injection)

Vérification des données (SQL Injection)

Vérification des données (SQL Injection) Les différentes attaques citées précédemment reposent principalement sur l’utilisation de caractères spécifiques qui permettent de mettre en commentaire des portions de code et d’insérer du code frauduleux. Il est cependant rare que l’application ait besoin d’accepter les caractères suivant. [& ~ " # ' { } ( [ ] ( ) - | ` _ \ ^ @ \ * / . < > , ; : ! $ ]

Vérification des données (SQL Injection) Cependant les applications Web de gestion de contenu comme les forums doivent les accepter, notamment les forums utilisés par les développeurs pour partager du code. Dans ce cas, il faut transformer aux moins les caractères suivants en code HTML avant de les stocker dans la base de données. L’affichage de l’information ne sera pas différent pour l’utilisateur, mais les données seront plus sûres. Bien qu’un site puisse subir différents types d’attaques par injection, il suffit de vérifier que les caractères utilisés sont ceux attendus. Ce contrôle doit être effectué au niveau du client grâce à JavaScript et au niveau du serveur lorsque les paramètres sont récupérés pour fermer la faille de sécurité. Méfiez vous des procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur.

Vérification des données - attaques côté client (Cross site scripting (XSS)) Les failles de Cross-Site Scripting (XSS) se produisent chaque fois qu'une application prend des données non fiables et les envoie à un navigateur Web sans validation. XSS permet à des attaquants d'exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l'utilisateur vers des sites malveillants.

Vérification des données (Cross site scripting (XSS))

Vérification des données (Cross site scripting (XSS))

Solution à la vérification des données Valider les données de l’usager sur le serveur Web et/ou sur le serveur d’applications Limiter la taille de l’entrée Refuser les caractères spéciaux ‘ “ \ / ; - < > Accepter seulement les caractères nécessaires &  & <  < >  > "  " '  ' /  / Gérer les permissions sur la basé de données usagers, rôles, permissions

Phishing (hameçonnage)

Solution au Phishing (hameçonnage) Filtrer le spam Authentification du serveur Éduquer les utilisateurs

Google Hack Google est devenu un instrument de piratages. Faites attention aux informations accessible par Google. Exemple: intitle:index.of ."parent directory"

Solution aux attaques par force brute Autres techniques

Outils pour détecter les failles Commercial Tools Veracode Web Application Security by Veracode Acunetix WVS by Acunetix VUPEN Web Application Security Scanner by VUPEN Security AppScan by IBM Burp Suite Professional by PortSwigger WebScanService by Elanize KG Hailstorm by Cenzic   N-Stalker by N-Stalker Free / Open Source Tools Nessus by Tenable Network Security Arachni by Tasos Laskos NetSparker by Mavituna Security Grabber by Romain Gaucher NeXpose by Rapid7 Grendel-Scan by David Byrne and Eric Duprey NTOSpider by NTObjectives Paros by Chinotec ParosPro by MileSCAN Technologies Andiparos Retina Web Security Scanner by eEye Digital Security Zed Attack Proxy Powerfuzzer by Marcin Kozlowski WebApp360 by nCircle SecurityQA Toolbar by iSEC Partners WebInspect by HP Skipfish by Michal Zalewski WebKing by Parasoft W3AF by Andres Riancho Websecurify by GNUCITIZEN   Wapiti by Nicolas Surribas Software-as-a-Service Providers Watcher by Casaba Security AppScan OnDemand by IBM WATOBO by siberas ClickToSecure by Cenzic Websecurify by GNUCITIZEN QualysGuard Web Application Scanning by Qualys Zero Day Scan Sentinel by WhiteHat

Travail pratique Dans le documents OWASP_Top_10_2013_- _French.pdf, chaque étudiant doit faire une recherche pour approfondir un point et le présenter aux autres. Voici ce qu'ils doivent faire: Introduction Présentation du problème Environnement affectés Exemple de cas Comment faire pour éviter cette faille Conclusion