Les failles de sécurité courants

Injection SQl

Il permet au hackers d’injecter des codes malicieux a partir d’un application web à une autre système,Ces attaques peut être fait par un programme externe via des commandes shell mais aussi en faisant appel a la base de donnée en utilisant les requêtes SQL. Le script est écrit e Python ou PERL et peut être injectée dans un application web mal conçu pour être exécuté

Solution:la façon le plus simple est d’éviter d’accéder à des interpréteur externes quand cela est possible.pour beaucoup de commande shell et quelques appel au système il y a des bibliothèques spécifiques qui possèdent des mêmes fonctions.en utilisant ces bibliothèques on peut éviter les interpréteur shell et donc éviter un nombre important de problemes avec les comandes shell

Cross-site Scripting

Injection des données arbitraires dans un site web, par exemple en déposant un message dans un forum, ou par des paramètres d'URL. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d'URL, un message posté…) sans avoir été vérifiées, alors il existe une faille : on peut s'en servir pour faire exécuter du code malveillant en language de script(du JavaScript le plus souvent) par le navigateur web qui consulte cette page.

Solutions:

enlever le code HTML générer avant l'envoi au navigateur

Filtrer les variables affichées /enregistrées

problemes du session de management et de l'authentification

Les données, id,motde passe... sont découvert ou ne sont pas assez sécurisé.

Solution: Crytage du MDP,augmenter le difficulté du MDP, limiter le nombre d'essai pour s'authentifier.

Direct objet reference non sécuriser