La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Expose : Web Application Firewall.

Publié parmaxi kebe Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Expose : Web Application Firewall."— Transcription de la présentation:

1 FA/PDP – DAKAR 2015 Thème: Web Application Firewall

2 FA/PDP – DAKAR 2015 INTRODUCTION  Disponibles directement sur internet, utilisant de plus en plus du code partagé et traitant bien souvent des données sensibles (données bancaires, données clients…), les applications web sont devenues une cible privilégiée d’attaques pour les cybercriminels

3 FA/PDP – DAKAR 2015 3. contexte  Les attaques de la couche applicative comme l'injection SQL, l'exécution de fichiers malveillants et le cross-site scripting,  peuvent infiltrer un site Web en vue de le détériorer, ce qui a pour effet de réduire ses performances et d'exposer votre entreprise à des violations de données.  Ces attaques visent plusieurs types de fonctionnalités au sein de votre site, qu'il s'agisse de cibler directement le site Web ou de transférer la logique vers une base de données en vue de compromettre les informations qu'elle contient.

4 FA/PDP – DAKAR 2015 4. contexte

5 FA/PDP – DAKAR 2015 5. Plan i.Qu’est ce qu’un WAF? ii.Comment ça marche ? iii.Mode de fonctionnement iv.Comment choisir son WAF? v.Comment se prémunir des attaques WEB vi.Conclusion

6 FA/PDP – DAKAR 2015 6. Quelque définition?  Application web  WEB 2.0

7 FA/PDP – DAKAR 2015 7. Qu’est ce qu’un WAF? Définition Un WAF constitue une mesure de sécurité applicative déployée entre un client Web et un serveur Web pour analyser en profondeur chaque requête et réponse pour toutes les formes de trafic Web communes. Un WAF identifie le trafic anormal ou malveillant pour l'isoler et le bloquersécurité applicative

8 FA/PDP – DAKAR 2015 8. Comment ça marche ?

9 9.  Intégré au serveur Web: qui sont directement embarqués au sein du serveur lui-même.  Mode Parallèle/Sonde: ils adoptent le fonctionnement d’un IDS afin de détecter et d’émettre des alarmes en cas d’intrusion.  Mode Intrusif/Reverse Proxy/réseau: le suivi des sessions, l’authentification et l’autorisation, les fonctionnalités réseaux avancées et bien sur sa capacité de réécriture des URLs. Comment ça marche ?

10 FA/PDP – DAKAR 2015 10. Comment choisir son WAF?

11 FA/PDP – DAKAR 2015 11. Comment choisir son WAF?

12 FA/PDP – DAKAR 2015 12. Quelques attaques?

13 FA/PDP – DAKAR 2015 13. Comment se prémunir des attaques WEB Conformité protocolaire le WAF s’assure de la bonne conformité protocolaire en contrôlant l’entête http, les champs de formulaire, l’URL, etc 1.1. Protection contre les injections SQL pour les attaques de type injection (SQL Injection, OS Command Injection, LDAP Injection, …), les WAFs se basent principalement sur des signatures d’attaques en utilisant du « pattern matching » afin d’identifier un comportement anormal. 2.2. Protection DDOS 3.3. Prévention du vol de session HTTP 4.4. Elle se base sur 2 principaux piliers : un contrôle comportemental en analysant le nombre de requêtes par seconde (par utilisateur ou global), le temps de réponse des serveurs. le chiffrement SSL permet d’éviter le vol de cookies par un sniffer. Ensuite le pare-feu peut également proposer un mécanisme de protection des cookies par signature ou par chiffrement. le pare-feu empêche à la fois la visualisation et la manipulation des cookies.

14 FA/PDP – DAKAR 2015 14. Comment se prémunir des attaques WEB  Valider les inputs des users  Utiliser des schémas d’encodage  Bien configurer le firewall  Avoir un plan de RDP surtout contre les attaques de type DOS  Haute disponibilité  Security Information Events Management

15 FA/PDP – DAKAR 2015 15. conclusion De par la richesse de ses fonctions de sécurité il est vrai qu’un pare-feu applicatif peu se rendre très utile voire obligatoire dans certaines situations mais il ne faut pas pour autant en négliger l’aspect sécurité lors de l’élaboration d’une application, le fameux « Secure by design ».

16 FA/PDP – DAKAR 2015 16. Bonus Salaire Ingénieur sécurité web Un jeune diplômé peut espérer gagner entre 28 000 et 35 000 euros bruts par an et mieux encore un jeune cadre peut toucher jusqu'à 45 000 euros bruts par an, et jusqu'à 70 000 euros bruts par an pour un cadre confirmé ou dans le cadre d'expertise très spécialisée.

17 FA/PDP – DAKAR 2015 17. webographie  https://www.orientation.com/diplomes/master-pro-sciences-technologies-sante-mention- informatique-specialite-securite-des-systemes-dinformation-208147.html https://www.orientation.com/diplomes/master-pro-sciences-technologies-sante-mention- informatique-specialite-securite-des-systemes-dinformation-208147.html  https://www.ssi.gouv.fr/particulier/precautions-elementaires/bonnes-pratiques-de- navigation-sur-linternet/  https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project

18 MERCI

Télécharger ppt "Expose : Web Application Firewall."

Présentations similaires

Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia - 2012.

Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.

Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.
GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)

GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.

Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.
Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.

Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.
1 Identifier les composants d’un réseau local. 2 Les composants d’un réseau Des ordinateurs, appelés stations... …munis d’une carte réseau leur permettant.

1 Identifier les composants d’un réseau local. 2 Les composants d’un réseau Des ordinateurs, appelés stations... …munis d’une carte réseau leur permettant.
STAGE INGENIEUR ETUDES & DEVELOPPEMENT Business Intelligence Saint-Avertin (37550) Créée en 1990, Umanis est le leader français en Data (Big Data, Business.

STAGE INGENIEUR ETUDES & DEVELOPPEMENT Business Intelligence Saint-Avertin (37550) Créée en 1990, Umanis est le leader français en Data (Big Data, Business.
Bénin DNS Forum. DNS et Déni de Service Présentateur O Hervé HOUNZANDJI O Ingénieur Système O Administrateur de base de données ORACLE O Centre Hospitalier.

Bénin DNS Forum. DNS et Déni de Service Présentateur O Hervé HOUNZANDJI O Ingénieur Système O Administrateur de base de données ORACLE O Centre Hospitalier.
Pour plus de modèles : Modèles Powerpoint PPT gratuitsModèles Powerpoint PPT gratuits Page 1 Free Powerpoint Templates Client service architecteur réseaux.

Pour plus de modèles : Modèles Powerpoint PPT gratuitsModèles Powerpoint PPT gratuits Page 1 Free Powerpoint Templates Client service architecteur réseaux.
Cartographie sur le web (webmapping)

Cartographie sur le web (webmapping)
Les Bases de données Définition Architecture d’un SGBD

Les Bases de données Définition Architecture d’un SGBD
Système d’Information et de Gestion

Système d’Information et de Gestion
Haute École Roi Baudouin CATÉGORIE ÉCONOMIQUE INFORMATIQUE DE GESTION

Haute École Roi Baudouin CATÉGORIE ÉCONOMIQUE INFORMATIQUE DE GESTION
Les P G I Les Progiciels de Gestion Intégrés

Les P G I Les Progiciels de Gestion Intégrés
Introduction à la cryptographie

Introduction à la cryptographie
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Cybersécurité : enjeux pour l’usine du futur

Cybersécurité : enjeux pour l’usine du futur
La politique de sécurité et le filtrage dans les réseaux

La politique de sécurité et le filtrage dans les réseaux
Réf. CS&S/ISE/DFC/TES,xxxx/-/02

Réf. CS&S/ISE/DFC/TES,xxxx/-/02

Présentations similaires

Annonces Google