PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1.

Slides:



Advertisements
Présentations similaires
Bibliothèque Centrale de l’École Polytechnique Session pratique Recherches documentaires en sciences dures PSC 2011 septembre/octobre 2011 Denis Roura,
Advertisements

Utilisation Professionnelle des Réseaux Sociaux Franck Rubino Market4web – Gap.
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Les systèmes d'information 1- Une pratique quotidienne 2- Les données 3- Approche conceptuelle 4- Notion de serveur 5- Conception d'un système d'information.
VHFFS : Enlarge your hosting Sylvain Rochet Samuel Lesueur Cette présentation est sous contrat Paternité-Partage des Conditions Initiales à l'Identique.
Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
La sécurité Un sujet TRES vaste ! Qu'est ce qu'un « hacker » ? Risques pour un utilisateur lambda ? Comment s'y prennent-ils !? Comment se protéger ? Tout.
1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.
Cours de HTML suite 3. Sommaire...  Les formulaires. Les formulaires.  Structure basique du formulaire, balise. Structure basique du formulaire, balise.
1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.
CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph
21/10/2017 L’organisation et la gestion des fichiers sur le site collaboratif MartineCochet 2SitePleiadeGestionFichier.
Téléchargement de fichiers
Comment Sécuriser Le Système d’information de son entreprise
Mise en place d’un système de partage de fichiers
Qu’est-ce un serveur de messagerie?
ATS8500 Standalone Downloader.
Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.
Projet M2L GESTION DE FORMATION
Phishing : Techniques et sensibilisation
Présentation Scribe NG Serveur pédagogique.
Sécurité - VPN - Configurer la mise à jour du client
Projet IHM - Gestion des modules ESSI3
Sécurisation de l’accès Internet
Installation et Configuration Internet Information Server (IIS 5)
La sécurité Pour les développeurs.
Centralisation de logs
SECURITE DU SYSTEME D’INFORMATION (SSI)
Objectifs de la veille :
Chapitre 12 Surveillance des ressources et des performances
MS
fonctionnalités iiS iis
Comment fonctionne RADIUS?
E-lyco C’est quoi ?.
Wireshark Capture et analyse de trames IP
Réalisation d’une application web sous le thème: «Mon vétérinaire » par : Benzineb Asmaa et Meftahi Oualid Présentation à Université Saad Dahlab Blida.
Programmation système
MISE EN PLACE DE LA ToIP CAS DU MINJEC
Le site FORUM liste de diffusion DROPBOX GESTAPRC Travail collaboratif
Chapitre 7 Configuration de l'environnement du bureau
Documentation technique (Linux)
Sfaihi Yassine Rabai Fatma Aissaoui Walid
Plus de 4000 langages....
Mise en œuvre d’une solution de portail
Bureau distant sur Windows Vista /2008 Server
Préparé et présenté par: SAOUDI Lalia
Expose : Web Application Firewall.
Outils et principes de base. Exemple d’application  Gestion de données d’enquête : Interface de saisie en ligne  insère directement les données dans.
Les protocoles de la couche application Chapitre 7.
1 Copyright © 2004, Oracle. Tous droits réservés. Extraire des données à l'aide de l'instruction SQL SELECT.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Fonctionnement internet et recherche d’information
Le portail Mon Compte Partenaire
Etienne Vandeput Namur CeFIS 2001
Internet : Informations personnelles et identité numérique
Présentation des services IT
Notions d'architecture client-serveur. Présentation de l'architecture d'un système client/serveur Des machines clientes contactent un serveur qui leur.
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Test de performances. Test de performances:  Un test de performance est un test dont l'objectif est de déterminer la performance d'un système informatique.
YII Yes It Is !.
DEVOUEST 28 Mars 2019 FUA.
Qu’est ce qu’une page web? Comment fonctionne un site web?
App Inventor trucs Afficher une image depuis le Web ou Google Drive.
Internet Stage – Semaine 5.
Transcription de la présentation:

PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1

Chapitre 1: RISQUES LIES AUX APPLICATIONS WEB Chapitre 2: MESURE DE SECURITE POUR PHP Chapitre 3: RISQUES LIES AUX BASE DE DONNEES Chapitre 4: MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1- Vulnérabilité des bases de données 2 - Mesure de sécurité pour MySQL 1- Introduction à la sécurité des applications web 2 – Vulnérabilité des pages web 3 – Formulaire et téléchargement : validation des données 4 – Cookies et session 1- Installation et configuration de PHP 2- Intégrité des scripts PHP 1- Mesure de sécurité coté serveur 2 - Technique de sécurisation des applications web 3 - Mener un audit de sécurité Plan du cours 2

3 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Les risques à prévenir  L’abus de ressources  La destruction de données  La publication des données confidentielles Accaparer tout ou partie des ressources d’une application web dénis de services (ressources rares que le serveur ne peut pas assurer le service, Se produit suite à une sollicitation importante de la mémoire, du processeur, connexion aux BD, de la bande passante, espace disque etc.,,, Le serveur peut être attaqué de l’extérieur, 2 ème sur la liste des risques, attaquer les donnés par usage d’une faille de l’application (injection SQL, inutilisabilité du site ou de l’application web par remplacement de tous les mot de passe de la table des utilisateurs ), très facile à identifier sur le serveur Famille de risque n’entravant pas le bon fonctionnement de l’application - accès par un pirate aux données non autorisées - le problème réside dans l’identification du risque (cas de master Card qui a vue ses données dans les mains d’un autre)

4 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Les risques à prévenir  Le détournement de sites  L’usurpation d’identité Se servir du site dans un but différent de son objet initial Ex : les blogs, les forums, et les sites d’actualité Le détournement peux survenir quand une fonctionnalité autrement que pour son objectif (cas d’une interface de whois pour collecter des données sur su site Whois = service de recherche fourni par les registres pour fournir les informations sur une adresse IP ou adresse internet Problème Croissant sur l’internet, ce qui pousse certains sites à adopter une forme d’identification (par carte de crédit, identifiant des réseaux sociaux (Facebook, Google, etc.,), D’autres utilisent les cookies ou la session d’un utilisateur, cas du broutage en côte d’ivoire  Mise à mal de l’image de marque du site Qu’arrive t’il s’un e application web mal sécurisée « défigurée » par un tiers, (le ridicule) ? Ça ne tue pas mais plus que la mort, (par exemple un site religieux sur lequel on trouve des message pornographique ? Le site de l’esatic avec des forums de broutage et d’organisation d’evènements contraire à l’éducation ?

5 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) Constante (durant le développement) Se concrétise pendant la production (surveillances des opérations journalières )

6 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) 1 - Un peu de bon sens (pas la technologie) Cas d’une firme plaçant directement les requête SQL pour effectuer des recherche dans une base d’annonces, à l’intérieur des pages web, Base de confiance entre l’utilisateur et votre site ou application, (cas du banquier et du client qui sont soumis au contrat de secret bancaire) Cas du médecin et de son patient qui sont soumis au secret médical, 2 – faire simple (la complexité est à l’origine de nombreux problèmes et se traduit par des trous de sécurité) Code simple = facilité de compréhension et visibilité des différentes limitation Le PB de sécurité s’invitent dans les parties obscures des applications, En cas d’erreur sur les données saisies par un user, lui renvoyer ces données erronées après une correction adhoc, 3 – Etre soi même( publications de vulnérabilité sur : www,mitre,com ou www,securityfocus,com) Conséquences de publication de vulnérabilité : Tombe dans les mains d’un pirate - possibilité d’exploitation de cette vulnérabilité

7 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) 4 – Sécurité par l’obscurité (protection d’une application en conservant sécrètes toutes les infos, sur sa structure et son fonctionnement) Elle a mauvaise presse car utilisée par les systèmes propriétaires (cas de Microsoft, et autres entreprise privées) Certains systèmes propriétaires sont moins sécurisé que les libres ????? Généralement cette forme de sécurité permet de masquer tout ce qui donne accès à un pirate ; -pas de message d’erreur, pas de page de type à propos de, aucun cookies caractéristique de PHP, pas d’entête serveur (X-powerd by) Complique la tâche du pirate et donne une longueur d’avance à l’administrateur 5 – défense en profondeur(mettre en place des mesures de sécurité même là ou elles ne servent à rien) « une chaine a la résistance de son maillon le plus faible»----donc il faut renforcer chaque maillon de la chaine, Proverbe : les parachutistes sautent toujours avec 2 parachutes, si le 1 er part en Le PB de sécurité s’invitent dans les parties obscures des applications, En cas d’erreur sur les données saisies par un user, lui renvoyer ces données erronées après une correction ad hoc,

8 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Dans le développement(tâche des programmeurs) = GRDE partie Faire le diff,, entre amis et ennemis (neutraliser les derniers) 1 – filtrage des données entrantes (gestion des formats de données) Filtrer = mettre en place des critères d’acceptation de données à stocker dans votre base Proverbe : Garbage in, garbage out = à question idiote, réponse idiote ????? Peut – on accepter des prénoms avec des guillemets ?, commençant par des chiffres ?, contenant des virgules ? 2 – concept d’injection(transmettre à PHP des données qu’il enverra à son tour à d’autres systèmes) Dans ce cas les données n’auront pas d’importance pour PHP mais ont une importance significative pour les systèmes connecté à PHP (ex: XSS – injecter du html et java script dans une page pour déclencher un navigateur) 3 – les jeux de caractères (mettent une liaison entre les octets et leur valeur) www,unicode,org gère les jeux de caractère de n’importe quelle langue, Représente une source d’injection importante Vulnérabilité se manifeste en envoyant au serveur des jeux de caractères auxquels il ne s’attend pas

9 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Dans le développement(tâche des programmeurs) = GRDE partie Faire le diff,, entre amis et ennemis (neutraliser les derniers) 4 – le suivi des données Permet de savoir si les données manipulées sont saines ou pas (validés ou brutes) 5 – protection des données sortantes (équivalent des données en sorties) 6 – les audits de codes (faire lire votre code par un intervenant qui n’a pas pris part au développement)

10 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Sécurité de tous les jours (en production) 1 – Modération du contenu Permet de savoir si les données manipulées sont saines ou pas (validés ou brutes) 2 – Veille par les logs 3 – Se tenir à jour 4 – Faire attention au navigateur 5 – Aspects légaux de la sécurité

11 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) A - Les injections HTML: XSS : Cross-Site Scripting Les injections constituent une vulnérabilité ou des données externes modifient le comportement d’un application web, Exemple : variable nom est passée via l’URL comme ceci : Ici la vulnérabilité est qu’il est possible d’utiliser des caractères HTML spéciaux, tels que pour modifier le comportement de la page, (ce ne sont pas des caractères valides dans une url, Pas trop grandes impression ???? À a ce stade, Injection de code JavaScript

12 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) Avec un fichier JavaScript externe, il est désormais possible de réaliser de nombreuses opérations distinctes avec le navigateur victime : charger du contenu arbitraire : en ajouter, en supprimer, en modifier dans la page en cours ; forcer l’utilisation de formulaires : aussi bien ceux de la page en cours que les formulaires distants ; détourner des formulaires vers un autre site : l’autre site peut alors s’insérer dans les communications entre le navigateur et le site légitime ; voler les cookies : cela conduit directement à l’usurpation d’identité ; rediriger vers un autre site ; faire exécuter au navigateur de nombreuses opérations au nom de son utilisateur. Injection possible avec du JavaScript A - Les injections HTML: XSS : Cross-Site Scripting = injection directe

13 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) Scénario : Mettre en place une url pointant sur un site vulnérable Soumettre au référencement des moteurs de recherche Ceux-ci vont l’ajouter à la liste des sites à vérifier Représentent 1 technique de masquage d’attaque, B - Les attaques par moteur de recherche Remarque : au niveau pirate, si l’on cherche à connaitre l’attaquant, on doit remonter au moteur de recherche

14 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 3 : Formulaires et téléchargement : validation des données

15 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 4 – Cookies et sessions

16 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Installation et configuration de PHP

17 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Intégrité des scripts PHP

18 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASES DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Vulnérabilité des bases de données

19 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASES DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Mesures de sécurité pour MySQL

20 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Mesures de sécurité coté serveur

21 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Techniques de sécurisation des applications web

22 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 3 – Mener un audit de sécurité