La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1.

Publié parKANGA KOFFI Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1."— Transcription de la présentation:

1 PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1

2 Chapitre 1: RISQUES LIES AUX APPLICATIONS WEB Chapitre 2: MESURE DE SECURITE POUR PHP Chapitre 3: RISQUES LIES AUX BASE DE DONNEES Chapitre 4: MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1- Vulnérabilité des bases de données 2 - Mesure de sécurité pour MySQL 1- Introduction à la sécurité des applications web 2 – Vulnérabilité des pages web 3 – Formulaire et téléchargement : validation des données 4 – Cookies et session 1- Installation et configuration de PHP 2- Intégrité des scripts PHP 1- Mesure de sécurité coté serveur 2 - Technique de sécurisation des applications web 3 - Mener un audit de sécurité Plan du cours 2

3 3 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Les risques à prévenir  L’abus de ressources  La destruction de données  La publication des données confidentielles Accaparer tout ou partie des ressources d’une application web dénis de services (ressources rares que le serveur ne peut pas assurer le service, Se produit suite à une sollicitation importante de la mémoire, du processeur, connexion aux BD, de la bande passante, espace disque etc.,,, Le serveur peut être attaqué de l’extérieur, 2 ème sur la liste des risques, attaquer les donnés par usage d’une faille de l’application (injection SQL, inutilisabilité du site ou de l’application web par remplacement de tous les mot de passe de la table des utilisateurs ), très facile à identifier sur le serveur Famille de risque n’entravant pas le bon fonctionnement de l’application - accès par un pirate aux données non autorisées - le problème réside dans l’identification du risque (cas de master Card qui a vue ses données dans les mains d’un autre)

4 4 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Les risques à prévenir  Le détournement de sites  L’usurpation d’identité Se servir du site dans un but différent de son objet initial Ex : les blogs, les forums, et les sites d’actualité Le détournement peux survenir quand une fonctionnalité autrement que pour son objectif (cas d’une interface de whois pour collecter des données sur su site Whois = service de recherche fourni par les registres pour fournir les informations sur une adresse IP ou adresse internet Problème Croissant sur l’internet, ce qui pousse certains sites à adopter une forme d’identification (par carte de crédit, identifiant des réseaux sociaux (Facebook, Google, etc.,), D’autres utilisent les cookies ou la session d’un utilisateur, cas du broutage en côte d’ivoire  Mise à mal de l’image de marque du site Qu’arrive t’il s’un e application web mal sécurisée « défigurée » par un tiers, (le ridicule) ? Ça ne tue pas mais plus que la mort, (par exemple un site religieux sur lequel on trouve des message pornographique ? Le site de l’esatic avec des forums de broutage et d’organisation d’evènements contraire à l’éducation ?

5 5 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) Constante (durant le développement) Se concrétise pendant la production (surveillances des opérations journalières )

6 6 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) 1 - Un peu de bon sens (pas la technologie) Cas d’une firme plaçant directement les requête SQL pour effectuer des recherche dans une base d’annonces, à l’intérieur des pages web, Base de confiance entre l’utilisateur et votre site ou application, (cas du banquier et du client qui sont soumis au contrat de secret bancaire) Cas du médecin et de son patient qui sont soumis au secret médical, 2 – faire simple (la complexité est à l’origine de nombreux problèmes et se traduit par des trous de sécurité) Code simple = facilité de compréhension et visibilité des différentes limitation Le PB de sécurité s’invitent dans les parties obscures des applications, En cas d’erreur sur les données saisies par un user, lui renvoyer ces données erronées après une correction adhoc, 3 – Etre soi même( publications de vulnérabilité sur : www,mitre,com ou www,securityfocus,com) Conséquences de publication de vulnérabilité : Tombe dans les mains d’un pirate - possibilité d’exploitation de cette vulnérabilité

7 7 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) 4 – Sécurité par l’obscurité (protection d’une application en conservant sécrètes toutes les infos, sur sa structure et son fonctionnement) Elle a mauvaise presse car utilisée par les systèmes propriétaires (cas de Microsoft, et autres entreprise privées) Certains systèmes propriétaires sont moins sécurisé que les libres ????? Généralement cette forme de sécurité permet de masquer tout ce qui donne accès à un pirate ; -pas de message d’erreur, pas de page de type à propos de, aucun cookies caractéristique de PHP, pas d’entête serveur (X-powerd by) Complique la tâche du pirate et donne une longueur d’avance à l’administrateur 5 – défense en profondeur(mettre en place des mesures de sécurité même là ou elles ne servent à rien) « une chaine a la résistance de son maillon le plus faible»----donc il faut renforcer chaque maillon de la chaine, Proverbe : les parachutistes sautent toujours avec 2 parachutes, si le 1 er part en Le PB de sécurité s’invitent dans les parties obscures des applications, En cas d’erreur sur les données saisies par un user, lui renvoyer ces données erronées après une correction ad hoc,

8 8 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Dans le développement(tâche des programmeurs) = GRDE partie Faire le diff,, entre amis et ennemis (neutraliser les derniers) 1 – filtrage des données entrantes (gestion des formats de données) Filtrer = mettre en place des critères d’acceptation de données à stocker dans votre base Proverbe : Garbage in, garbage out = à question idiote, réponse idiote ????? Peut – on accepter des prénoms avec des guillemets ?, commençant par des chiffres ?, contenant des virgules ? 2 – concept d’injection(transmettre à PHP des données qu’il enverra à son tour à d’autres systèmes) Dans ce cas les données n’auront pas d’importance pour PHP mais ont une importance significative pour les systèmes connecté à PHP (ex: XSS – injecter du html et java script dans une page pour déclencher un navigateur) 3 – les jeux de caractères (mettent une liaison entre les octets et leur valeur) www,unicode,org gère les jeux de caractère de n’importe quelle langue, Représente une source d’injection importante Vulnérabilité se manifeste en envoyant au serveur des jeux de caractères auxquels il ne s’attend pas

9 9 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Dans le développement(tâche des programmeurs) = GRDE partie Faire le diff,, entre amis et ennemis (neutraliser les derniers) 4 – le suivi des données Permet de savoir si les données manipulées sont saines ou pas (validés ou brutes) 5 – protection des données sortantes (équivalent des données en sorties) 6 – les audits de codes (faire lire votre code par un intervenant qui n’a pas pris part au développement)

10 10 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Sécurité de tous les jours (en production) 1 – Modération du contenu Permet de savoir si les données manipulées sont saines ou pas (validés ou brutes) 2 – Veille par les logs 3 – Se tenir à jour 4 – Faire attention au navigateur 5 – Aspects légaux de la sécurité

11 11 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) A - Les injections HTML: XSS : Cross-Site Scripting Les injections constituent une vulnérabilité ou des données externes modifient le comportement d’un application web, Exemple : variable nom est passée via l’URL comme ceci : http://www.monsite.com/index.php?nom=damien Ici la vulnérabilité est qu’il est possible d’utiliser des caractères HTML spéciaux, tels que pour modifier le comportement de la page, (ce ne sont pas des caractères valides dans une url, Pas trop grandes impression ???? À a ce stade, Injection de code JavaScript

12 12 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) Avec un fichier JavaScript externe, il est désormais possible de réaliser de nombreuses opérations distinctes avec le navigateur victime : charger du contenu arbitraire : en ajouter, en supprimer, en modifier dans la page en cours ; forcer l’utilisation de formulaires : aussi bien ceux de la page en cours que les formulaires distants ; détourner des formulaires vers un autre site : l’autre site peut alors s’insérer dans les communications entre le navigateur et le site légitime ; voler les cookies : cela conduit directement à l’usurpation d’identité ; rediriger vers un autre site ; faire exécuter au navigateur de nombreuses opérations au nom de son utilisateur. Injection possible avec du JavaScript A - Les injections HTML: XSS : Cross-Site Scripting = injection directe

13 13 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) Scénario : Mettre en place une url pointant sur un site vulnérable Soumettre au référencement des moteurs de recherche Ceux-ci vont l’ajouter à la liste des sites à vérifier Représentent 1 technique de masquage d’attaque, B - Les attaques par moteur de recherche Remarque : au niveau pirate, si l’on cherche à connaitre l’attaquant, on doit remonter au moteur de recherche

14 14 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 3 : Formulaires et téléchargement : validation des données

15 15 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 4 – Cookies et sessions

16 16 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Installation et configuration de PHP

17 17 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Intégrité des scripts PHP

18 18 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASES DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Vulnérabilité des bases de données

19 19 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASES DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Mesures de sécurité pour MySQL

20 20 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Mesures de sécurité coté serveur

21 21 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Techniques de sécurisation des applications web

22 22 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 3 – Mener un audit de sécurité

Télécharger ppt "PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1."

Présentations similaires

Bibliothèque Centrale de l’École Polytechnique Session pratique Recherches documentaires en sciences dures PSC 2011 septembre/octobre 2011 Denis Roura,

Bibliothèque Centrale de l’École Polytechnique Session pratique Recherches documentaires en sciences dures PSC 2011 septembre/octobre 2011 Denis Roura,
Utilisation Professionnelle des Réseaux Sociaux Franck Rubino Market4web – Gap.

Utilisation Professionnelle des Réseaux Sociaux Franck Rubino Market4web – Gap.
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia - 2012.

Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)

GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !

Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.

QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.

Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Les systèmes d'information 1- Une pratique quotidienne 2- Les données 3- Approche conceptuelle 4- Notion de serveur 5- Conception d'un système d'information.

Les systèmes d'information 1- Une pratique quotidienne 2- Les données 3- Approche conceptuelle 4- Notion de serveur 5- Conception d'un système d'information.
VHFFS : Enlarge your hosting Sylvain Rochet Samuel Lesueur Cette présentation est sous contrat Paternité-Partage des Conditions Initiales à l'Identique.

VHFFS : Enlarge your hosting Sylvain Rochet Samuel Lesueur Cette présentation est sous contrat Paternité-Partage des Conditions Initiales à l'Identique.
Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot

Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
La sécurité Un sujet TRES vaste ! Qu'est ce qu'un « hacker » ? Risques pour un utilisateur lambda ? Comment s'y prennent-ils !? Comment se protéger ? Tout.

La sécurité Un sujet TRES vaste ! Qu'est ce qu'un « hacker » ? Risques pour un utilisateur lambda ? Comment s'y prennent-ils !? Comment se protéger ? Tout.
1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.

1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.
Cours de HTML suite 3. Sommaire...  Les formulaires. Les formulaires.  Structure basique du formulaire, balise. Structure basique du formulaire, balise.

Cours de HTML suite 3. Sommaire...  Les formulaires. Les formulaires.  Structure basique du formulaire, balise. Structure basique du formulaire, balise.
1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.

1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.
CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph

CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph
21/10/2017 L’organisation et la gestion des fichiers sur le site collaboratif https://ovidentia.lyc-pleiade.ac-grenoble.fr/ MartineCochet 2SitePleiadeGestionFichier.

21/10/2017 L’organisation et la gestion des fichiers sur le site collaboratif MartineCochet 2SitePleiadeGestionFichier.
Téléchargement de fichiers

Téléchargement de fichiers
Comment Sécuriser Le Système d’information de son entreprise

Comment Sécuriser Le Système d’information de son entreprise

Présentations similaires

Annonces Google