Mauvaise configuration sécurité

Slides:



Advertisements
Présentations similaires
Didacticiel Mon EBSCOhost
Advertisements

[Nom du présentateur] [Titre/position/statut du présentateur] Webinaire pour [nom du groupe] [Nom de l'institution] [Date]
Créer un site web en équipe
CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
Les 10 meilleurs conseils pour profiter au mieux dHINARI.
Agréger les infos SITRA et réservation sur mon site
Personnalisation des sites SharePoint avec SharePoint Designer 2007
Internet.
Le helpdesk de l’IFSIC Pourquoi ? Comment ?
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Référence directe non sécurisée à un objet
Note préalable Nous avons créé cette présentation pour vous, qui vous préoccupez de la sécurité informatique au sein de votre entreprise. Elle recense.
Introduction aux CMS.
Quels prestataires choisir ? Une agence Web Est une société spécialisée dans la conception et la réalisation. Elle prend généralement en charge tout le.
Secrétaire Indépendante
Installation des programmes indispensables et utiles :
Animer vos services avec des offres promotionnelles ? Mettre en œuvre vos promotions sans développement technique supplémentaire ? Orange met à votre disposition.
Répertoire d’ Outils et d’ Activités de Développement
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés
Formation Centra - GDE.
Service Commun Informatique
Expérimentation dans le cours Devenir une organisation apprenante Session Hiver étudiants Cours offert un samedi sur deux Sites déquipe.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Rivière Nathan 3e4 Rapport de stage en entreprise Sector.
FAIRE SON RAPPORT MENSUEL EN LIGNE ET PRENDRE DU BON TEMPS Lion Roland Pelletier District U-3.
Collecte de données en ligne
Nouveau système de courriel à la FMSS
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
UNE GAMME COMPLÈTE DAPPLICATIONS EN LIGNE POUR LA GESTION QUOTIDIENNE DE VOTRE ASSOCIATION Mon Espace Bureau DÉVELOPPÉ PAREN PARTENARIAT AVEC DISPONIBLE.
Lycée Louis Vincent Séance 1
10 octobre 2012 Grégory Petit
Les instructions PHP pour l'accès à une base de données MySql
Mauvaise configuration sécurité
28 novembre 2012 Grégory Petit
1 CLUB DES UTILISATEURS SAS DE QUÉBEC COMMENT TRANSFORMER UN PROGRAMME SAS EN TÂCHE PLANIFIÉE SOUS WINDOWS Présentation de Jacques Pagé STRiCT Technologies.
Mise en place du routeur DLINK MODELE: DSL-G604T.
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
Ressources en Ligne DOxford University Press Cette présentation est un bref descriptif dOxford Reference Online Elle couvrira La fonction dOxford Reference.
29/01/2009 Julien Arnoux et Jérémy Depoil
Le campus virtuel SUPPREM et le cours d’enseignement à distance "Introduction to biosafety" L'équipe du RIBios a préparé trois « briques » (ou unités pédagogiques)
1 Étude de marché sur Internet Les sondages sur le Net Come2001 Décembre 2006.
Les guides de formation WS-FTP Comment télécharger un site web sur le serveur de lÉcole.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
XLAB : Formation Initiale Paramétrage Commande – Service Fait – Factures Missions Echanges et sauvegardes Outils et bases de données.
MEMBRE PRIVILÈGE. Mission de l’entreprise Nous sommes une entreprise québécoise qui a pour but de créer un regroupement de commerçants et de consommateurs.
SPIP Existe depuis 1 er juillet 2001 Système de publication simplifié et partagé pour Internet : interface graphique très simple pour gérer des sites relativement.
0 Objectifs de la session n°1  Revenir sur toutes les bases théoriques nécessaires pour devenir un développeur Web,  Découvrir l’ensemble des langages.
Présentation de Net Prévoyance
Développé par : CHAFYQ El Hassan & Krachli Ayoub
Jean-Luc Archimbaud CNRS/UREC
D1 - 13/04/2015 Petite présentation de SPIP 17 octobre 2007 Philippe Giron Tisserand du site Internet diocésain.
APPRENDRE À SE PRÉMUNIR DES ATTAQUES ET DES MENACES DU WEB Internet et sécurité.
PHP & MySQL Master1 ICD Claire Jacquot Emilie Hot le 24/10/2006.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
SIO SI2 : Support Réseau des Accès Utilisateurs
Expérimentation dans les cours : Devenir une organisation apprenante Leadership et pratique de direction : Session Hiver.
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Ww.PMEsurlenet.com PME sur le net.com. Webmaster & Design 3717, avenue Verdun C.P. 256 Montréal, PQ, Canada H1G 5N3 Montréal: Québec:
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Support.ebsco.com Didacticiel Mon EBSCOhost Didacticiel.
Publication Flash sur Internet et Transfert avec Dreamweaver COM3562 Communication Multimédia MARS 2011.
Cyberintimidation.
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
Présentation de Facebook
Violation de Gestion d’authentification et de Session
Transcription de la présentation:

Mauvaise configuration sécurité Adrien Tasca Cégep de Saint-Hyacinthe

Plan Intro Présentation du problème Environnement affectés Exemple de cas Comment faire pour éviter cette faille Conclusion

Introduction Une bonne sécurité exige une configuration sécurisée bien définie L’application, les serveurs d’application, serveurs web, serveurs de base données ainsi que le contexte et la plate-forme doivent être bien configurés. Lorsqu’on programme une application, il ne faut rien laisser au hasard

Présentation du problème Des nos jours, les programmeurs utilisent des outils pour programmer. Ces outils font appels à différentes composantes de l’architecture d’une application web pour nous simplifier la vie. Le problème est que le programmeur moyen n’a aucune idée de ce qui passe derrière son code et il ne s’y attarde pas car tout fonctionne bien et il est paresseux. Dans certains cas plutôt rares, certaines configurations par défault ont un mot de passe soit vide ou très simple, du genre  « admin ». Tout les jours, des nouvelles failles sont découvertes et rendues publiques. Pour un développeur il est primordial de se tenir au courant des différentes failles qui pourraient éventuellement affecter une ou plusieurs composantes de l’architecture de son l’application web

Environnement affectés Habituellement il s’agit plus des petites et moyennes entreprises (PME) qui sont affectées car les développeurs se disent que personne ne va perdre sont temps à essayer des failles Il existe des outils qui scan le web à la recherche de serveurs possiblement piratables. N’importe qui peut décider de s’attaquer à n’importe quel site. Le but principal de l’attaque n’est pas toujours le site web en question. Il se peut que le pirate cherche à trouver des mots de passe d’adresse courrriel pour envoyer du spam ou des demandes d’argent à vos contacts sans parler du fait qu’une personne ayant accès à votre compte email peut prendre le contrôle de plusieurs comptes à travers le web en utilisant l’option « J’ai oublié mon mot de passe » (Banques, Paypal, Ebay, Comptes Blizzard etc) Arthur nous avait dit l’année passée que quelqu’un essayait toutes les nuits de rentrer dans son site web (sans succès par contre car c’est un patron) https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools

Exemple de cas Exemple en 2009 : Les Pizza Domino’s ont lancé une campagne d’actions marketing et publicitaire pour gagner de nouveaux clients. Une application écrite en Flash fut ajoutée au site en ligne pour permettre aux clients de passer commande en ligne. Cette application, affichait un champ permettant d’entrer un coupon pour recevoir une pizza pour 5$. Une nuit du week-end, un pirate a désassemblé l’application Flash pour voir comment elle fonctionnait et s’aperçu que la validité du coupon était contrôlée par l’application elle même. Pire encore, il a constaté que le plan marketing prévoyait même un coupon pour obtenir gratuitement une pizza. Comme le code se trouvait dans l’application Flash, il l’essaya sans délai et moins de 30 minutes plus tard, il se régalait d’une pizza gratuite. Le pirate s’empressa alors de poster le code coupon sur un forum. Ce n’est que le lundi matin que l’entreprise se rendit compte que son secret avait été percé et qu’elle avait livré gratuitement 11.000 pizza pour un coût d’environ 50.000$. Heureusement pour une compagnie de cette taille, cela n’a pas porté de préjudice majeur, mais cela reste une somme qui aurait pu ne pas être perdue si le contrôle des coupons avait été réalisé sur le serveur. http://www.theprohack.com/2012/07/hacking-dominos-coupon-generator-free.html

Exemple de cas #2 Il est important de gérer nous-même les pages d’erreurs Dans le cas d’un serveur Apache, la page par défaut qui s’affiche lorsqu’on demande une page non valide retourne la version du serveur Apache. Cette info est cruciale car si il s’agit d’une version dépassée moindrement, des failles sont disponibles sur le net et un pirate a simplement besoin d’en exploiter une pour avoir accès. De plus, dans un serveur Apache configuré selon les paramètres par default il est possible d’accéder à l’index du serveur. L’index regroupe les fichiers et différents répertoires du site internet, rendant certains fichiers accessibles alors qu’ils contiennent des données parfois importantes. Il est important de restreindre l’accès à ces pages.

Comment faire pour éviter cette faille La validation doit se faire du côté serveur, dans le cas de la compagnie Domino’s, c’était l’application qui déterminait si le code était valide ou non. Si ca avait été le serveur qui recoit le code et qui détermine si il est valide, Domino’s n’aurait peut-être pas perdu environ 50,000$ en une fin de semaine Il faut mettre à jour régulièrement les différents composants d’une application web car il y a tout le temps de nouvelles failles qui sont découvertes et exposées au public. Une faille est normalement exposée pour permettre aux développeurs de se protéger mais elle si vous n’êtes pas assez rapide un pirate informatique peut exploiter la faille avant qu’elle soit bloquée

Conclusion Être prudent lors de la programmation Faire la validation du côté serveur et non du côté client. Restreindre l’accès aux différentes pages du site internet Se tenir au courant des dernières failles et mettre a jour régulièrement les composantes Essayer soi-même d’exploiter son site web est une bonne technique pour trouver des failles et les régler avant que quelqu’un d’autre ne le fasse à votre place.

Critères d’évaluation Complétude Intro/Présentation du problème/Environnement affectés/Exemple de cas/Comment faire pour éviter cette faille/Conclusion Qualité de la présentation C’est une très belle présentation NOTE FINALE : 100%

Références https://aresu.dsi.cnrs.fr/spip.php?article148 http://frnetworker.wordpress.com/2012/07/16/comment-une-mauvaise-configuration- dapplication-peut-affecter-la-securite-de-votre-reseau/ https://cours.etsmtl.ca/mti719/documents/cours/Cours-06-OWASP.pdf http://resources.infosecinstitute.com/hacker-proofing-apache-php-configuration/ https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.