La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1.

Présentations similaires


Présentation au sujet: "PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1."— Transcription de la présentation:

1 PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1

2 Chapitre 1: RISQUES LIES AUX APPLICATIONS WEB Chapitre 2: MESURE DE SECURITE POUR PHP Chapitre 3: RISQUES LIES AUX BASE DE DONNEES Chapitre 4: MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1- Vulnérabilité des bases de données 2 - Mesure de sécurité pour MySQL 1- Introduction à la sécurité des applications web 2 – Vulnérabilité des pages web 3 – Formulaire et téléchargement : validation des données 4 – Cookies et session 1- Installation et configuration de PHP 2- Intégrité des scripts PHP 1- Mesure de sécurité coté serveur 2 - Technique de sécurisation des applications web 3 - Mener un audit de sécurité Plan du cours 2

3 3 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Les risques à prévenir  L’abus de ressources  La destruction de données  La publication des données confidentielles Accaparer tout ou partie des ressources d’une application web dénis de services (ressources rares que le serveur ne peut pas assurer le service, Se produit suite à une sollicitation importante de la mémoire, du processeur, connexion aux BD, de la bande passante, espace disque etc.,,, Le serveur peut être attaqué de l’extérieur, 2 ème sur la liste des risques, attaquer les donnés par usage d’une faille de l’application (injection SQL, inutilisabilité du site ou de l’application web par remplacement de tous les mot de passe de la table des utilisateurs ), très facile à identifier sur le serveur Famille de risque n’entravant pas le bon fonctionnement de l’application - accès par un pirate aux données non autorisées - le problème réside dans l’identification du risque (cas de master Card qui a vue ses données dans les mains d’un autre)

4 4 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Les risques à prévenir  Le détournement de sites  L’usurpation d’identité Se servir du site dans un but différent de son objet initial Ex : les blogs, les forums, et les sites d’actualité Le détournement peux survenir quand une fonctionnalité autrement que pour son objectif (cas d’une interface de whois pour collecter des données sur su site Whois = service de recherche fourni par les registres pour fournir les informations sur une adresse IP ou adresse internet Problème Croissant sur l’internet, ce qui pousse certains sites à adopter une forme d’identification (par carte de crédit, identifiant des réseaux sociaux (Facebook, Google, etc.,), D’autres utilisent les cookies ou la session d’un utilisateur, cas du broutage en côte d’ivoire  Mise à mal de l’image de marque du site Qu’arrive t’il s’un e application web mal sécurisée « défigurée » par un tiers, (le ridicule) ? Ça ne tue pas mais plus que la mort, (par exemple un site religieux sur lequel on trouve des message pornographique ? Le site de l’esatic avec des forums de broutage et d’organisation d’evènements contraire à l’éducation ?

5 5 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) Constante (durant le développement) Se concrétise pendant la production (surveillances des opérations journalières )

6 6 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) 1 - Un peu de bon sens (pas la technologie) Cas d’une firme plaçant directement les requête SQL pour effectuer des recherche dans une base d’annonces, à l’intérieur des pages web, Base de confiance entre l’utilisateur et votre site ou application, (cas du banquier et du client qui sont soumis au contrat de secret bancaire) Cas du médecin et de son patient qui sont soumis au secret médical, 2 – faire simple (la complexité est à l’origine de nombreux problèmes et se traduit par des trous de sécurité) Code simple = facilité de compréhension et visibilité des différentes limitation Le PB de sécurité s’invitent dans les parties obscures des applications, En cas d’erreur sur les données saisies par un user, lui renvoyer ces données erronées après une correction adhoc, 3 – Etre soi même( publications de vulnérabilité sur : www,mitre,com ou www,securityfocus,com) Conséquences de publication de vulnérabilité : Tombe dans les mains d’un pirate - possibilité d’exploitation de cette vulnérabilité

7 7 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie A la conception (mise en place des choix stratégiques) 4 – Sécurité par l’obscurité (protection d’une application en conservant sécrètes toutes les infos, sur sa structure et son fonctionnement) Elle a mauvaise presse car utilisée par les systèmes propriétaires (cas de Microsoft, et autres entreprise privées) Certains systèmes propriétaires sont moins sécurisé que les libres ????? Généralement cette forme de sécurité permet de masquer tout ce qui donne accès à un pirate ; -pas de message d’erreur, pas de page de type à propos de, aucun cookies caractéristique de PHP, pas d’entête serveur (X-powerd by) Complique la tâche du pirate et donne une longueur d’avance à l’administrateur 5 – défense en profondeur(mettre en place des mesures de sécurité même là ou elles ne servent à rien) « une chaine a la résistance de son maillon le plus faible»----donc il faut renforcer chaque maillon de la chaine, Proverbe : les parachutistes sautent toujours avec 2 parachutes, si le 1 er part en Le PB de sécurité s’invitent dans les parties obscures des applications, En cas d’erreur sur les données saisies par un user, lui renvoyer ces données erronées après une correction ad hoc,

8 8 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Dans le développement(tâche des programmeurs) = GRDE partie Faire le diff,, entre amis et ennemis (neutraliser les derniers) 1 – filtrage des données entrantes (gestion des formats de données) Filtrer = mettre en place des critères d’acceptation de données à stocker dans votre base Proverbe : Garbage in, garbage out = à question idiote, réponse idiote ????? Peut – on accepter des prénoms avec des guillemets ?, commençant par des chiffres ?, contenant des virgules ? 2 – concept d’injection(transmettre à PHP des données qu’il enverra à son tour à d’autres systèmes) Dans ce cas les données n’auront pas d’importance pour PHP mais ont une importance significative pour les systèmes connecté à PHP (ex: XSS – injecter du html et java script dans une page pour déclencher un navigateur) 3 – les jeux de caractères (mettent une liaison entre les octets et leur valeur) www,unicode,org gère les jeux de caractère de n’importe quelle langue, Représente une source d’injection importante Vulnérabilité se manifeste en envoyant au serveur des jeux de caractères auxquels il ne s’attend pas

9 9 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Dans le développement(tâche des programmeurs) = GRDE partie Faire le diff,, entre amis et ennemis (neutraliser les derniers) 4 – le suivi des données Permet de savoir si les données manipulées sont saines ou pas (validés ou brutes) 5 – protection des données sortantes (équivalent des données en sorties) 6 – les audits de codes (faire lire votre code par un intervenant qui n’a pas pris part au développement)

10 10 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Introduction à la sécurité des applications web Concepts de sécurité Tous les stades de la vie Sécurité de tous les jours (en production) 1 – Modération du contenu Permet de savoir si les données manipulées sont saines ou pas (validés ou brutes) 2 – Veille par les logs 3 – Se tenir à jour 4 – Faire attention au navigateur 5 – Aspects légaux de la sécurité

11 11 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) A - Les injections HTML: XSS : Cross-Site Scripting Les injections constituent une vulnérabilité ou des données externes modifient le comportement d’un application web, Exemple : variable nom est passée via l’URL comme ceci : http://www.monsite.com/index.php?nom=damien Ici la vulnérabilité est qu’il est possible d’utiliser des caractères HTML spéciaux, tels que pour modifier le comportement de la page, (ce ne sont pas des caractères valides dans une url, Pas trop grandes impression ???? À a ce stade, Injection de code JavaScript

12 12 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) Avec un fichier JavaScript externe, il est désormais possible de réaliser de nombreuses opérations distinctes avec le navigateur victime : charger du contenu arbitraire : en ajouter, en supprimer, en modifier dans la page en cours ; forcer l’utilisation de formulaires : aussi bien ceux de la page en cours que les formulaires distants ; détourner des formulaires vers un autre site : l’autre site peut alors s’insérer dans les communications entre le navigateur et le site légitime ; voler les cookies : cela conduit directement à l’usurpation d’identité ; rediriger vers un autre site ; faire exécuter au navigateur de nombreuses opérations au nom de son utilisateur. Injection possible avec du JavaScript A - Les injections HTML: XSS : Cross-Site Scripting = injection directe

13 13 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Vulnérabilité des applications web = risque encourus par les applications web (php ou non) Scénario : Mettre en place une url pointant sur un site vulnérable Soumettre au référencement des moteurs de recherche Ceux-ci vont l’ajouter à la liste des sites à vérifier Représentent 1 technique de masquage d’attaque, B - Les attaques par moteur de recherche Remarque : au niveau pirate, si l’on cherche à connaitre l’attaquant, on doit remonter au moteur de recherche

14 14 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 3 : Formulaires et téléchargement : validation des données

15 15 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 4 – Cookies et sessions

16 16 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Installation et configuration de PHP

17 17 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Intégrité des scripts PHP

18 18 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASES DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Vulnérabilité des bases de données

19 19 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASES DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Mesures de sécurité pour MySQL

20 20 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 1 – Mesures de sécurité coté serveur

21 21 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 2 – Techniques de sécurisation des applications web

22 22 RISQUES LIES AUX APPLICATIONS WEB MESURE DE SECURITE POUR PHP RISQUES LIES AUX BASE DE DONNEES MESURE DE SECURITE POUR LES TECHNOLOGIES CONNEXES 3 – Mener un audit de sécurité


Télécharger ppt "PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1."

Présentations similaires


Annonces Google