Categorii: Tot - authentification - bibliothèques - sécurité

realizată de NGUYEN Minh Quan 11 ani în urmă

239

TP220114

Lorsqu'une application web est mal conçue, elle peut devenir vulnérable à différentes attaques de sécurité, telles que l'injection SQL, où des hackers injectent des codes malicieux via des requêtes SQL ou des scripts en Python ou PERL.

TP220114

Les failles de sécurité courants

Direct objet reference non sécuriser

problemes du session de management et de l'authentification

Solution: Crytage du MDP,augmenter le difficulté du MDP, limiter le nombre d'essai pour s'authentifier.
Les données, id,motde passe... sont découvert ou ne sont pas assez sécurisé.

Cross-site Scripting

Solutions:
Filtrer les variables affichées /enregistrées
enlever le code HTML générer avant l'envoi au navigateur
Injection des données arbitraires dans un site web, par exemple en déposant un message dans un forum, ou par des paramètres d'URL. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d'URL, un message posté…) sans avoir été vérifiées, alors il existe une faille : on peut s'en servir pour faire exécuter du code malveillant en language de script(du JavaScript le plus souvent) par le navigateur web qui consulte cette page.

Injection SQl

Solution:la façon le plus simple est d’éviter d’accéder à des interpréteur externes quand cela est possible.pour beaucoup de commande shell et quelques appel au système il y a des bibliothèques spécifiques qui possèdent des mêmes fonctions.en utilisant ces bibliothèques on peut éviter les interpréteur shell et donc éviter un nombre important de problemes avec les comandes shell
Il permet au hackers d’injecter des codes malicieux a partir d’un application web à une autre système,Ces attaques peut être fait par un programme externe via des commandes shell mais aussi en faisant appel a la base de donnée en utilisant les requêtes SQL. Le script est écrit e Python ou PERL et peut être injectée dans un application web mal conçu pour être exécuté