Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
FA/PDP – DAKAR 2015 Thème: Web Application Firewall
2
FA/PDP – DAKAR 2015 INTRODUCTION Disponibles directement sur internet, utilisant de plus en plus du code partagé et traitant bien souvent des données sensibles (données bancaires, données clients…), les applications web sont devenues une cible privilégiée d’attaques pour les cybercriminels
3
FA/PDP – DAKAR 2015 3. contexte Les attaques de la couche applicative comme l'injection SQL, l'exécution de fichiers malveillants et le cross-site scripting, peuvent infiltrer un site Web en vue de le détériorer, ce qui a pour effet de réduire ses performances et d'exposer votre entreprise à des violations de données. Ces attaques visent plusieurs types de fonctionnalités au sein de votre site, qu'il s'agisse de cibler directement le site Web ou de transférer la logique vers une base de données en vue de compromettre les informations qu'elle contient.
4
FA/PDP – DAKAR 2015 4. contexte
5
FA/PDP – DAKAR 2015 5. Plan i.Qu’est ce qu’un WAF? ii.Comment ça marche ? iii.Mode de fonctionnement iv.Comment choisir son WAF? v.Comment se prémunir des attaques WEB vi.Conclusion
6
FA/PDP – DAKAR 2015 6. Quelque définition? Application web WEB 2.0
7
FA/PDP – DAKAR 2015 7. Qu’est ce qu’un WAF? Définition Un WAF constitue une mesure de sécurité applicative déployée entre un client Web et un serveur Web pour analyser en profondeur chaque requête et réponse pour toutes les formes de trafic Web communes. Un WAF identifie le trafic anormal ou malveillant pour l'isoler et le bloquersécurité applicative
8
FA/PDP – DAKAR 2015 8. Comment ça marche ?
9
9. Intégré au serveur Web: qui sont directement embarqués au sein du serveur lui-même. Mode Parallèle/Sonde: ils adoptent le fonctionnement d’un IDS afin de détecter et d’émettre des alarmes en cas d’intrusion. Mode Intrusif/Reverse Proxy/réseau: le suivi des sessions, l’authentification et l’autorisation, les fonctionnalités réseaux avancées et bien sur sa capacité de réécriture des URLs. Comment ça marche ?
10
FA/PDP – DAKAR 2015 10. Comment choisir son WAF?
11
FA/PDP – DAKAR 2015 11. Comment choisir son WAF?
12
FA/PDP – DAKAR 2015 12. Quelques attaques?
13
FA/PDP – DAKAR 2015 13. Comment se prémunir des attaques WEB Conformité protocolaire le WAF s’assure de la bonne conformité protocolaire en contrôlant l’entête http, les champs de formulaire, l’URL, etc 1.1. Protection contre les injections SQL pour les attaques de type injection (SQL Injection, OS Command Injection, LDAP Injection, …), les WAFs se basent principalement sur des signatures d’attaques en utilisant du « pattern matching » afin d’identifier un comportement anormal. 2.2. Protection DDOS 3.3. Prévention du vol de session HTTP 4.4. Elle se base sur 2 principaux piliers : un contrôle comportemental en analysant le nombre de requêtes par seconde (par utilisateur ou global), le temps de réponse des serveurs. le chiffrement SSL permet d’éviter le vol de cookies par un sniffer. Ensuite le pare-feu peut également proposer un mécanisme de protection des cookies par signature ou par chiffrement. le pare-feu empêche à la fois la visualisation et la manipulation des cookies.
14
FA/PDP – DAKAR 2015 14. Comment se prémunir des attaques WEB Valider les inputs des users Utiliser des schémas d’encodage Bien configurer le firewall Avoir un plan de RDP surtout contre les attaques de type DOS Haute disponibilité Security Information Events Management
15
FA/PDP – DAKAR 2015 15. conclusion De par la richesse de ses fonctions de sécurité il est vrai qu’un pare-feu applicatif peu se rendre très utile voire obligatoire dans certaines situations mais il ne faut pas pour autant en négliger l’aspect sécurité lors de l’élaboration d’une application, le fameux « Secure by design ».
16
FA/PDP – DAKAR 2015 16. Bonus Salaire Ingénieur sécurité web Un jeune diplômé peut espérer gagner entre 28 000 et 35 000 euros bruts par an et mieux encore un jeune cadre peut toucher jusqu'à 45 000 euros bruts par an, et jusqu'à 70 000 euros bruts par an pour un cadre confirmé ou dans le cadre d'expertise très spécialisée.
17
FA/PDP – DAKAR 2015 17. webographie https://www.orientation.com/diplomes/master-pro-sciences-technologies-sante-mention- informatique-specialite-securite-des-systemes-dinformation-208147.html https://www.orientation.com/diplomes/master-pro-sciences-technologies-sante-mention- informatique-specialite-securite-des-systemes-dinformation-208147.html https://www.ssi.gouv.fr/particulier/precautions-elementaires/bonnes-pratiques-de- navigation-sur-linternet/ https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project
18
MERCI
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.