WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement

( Télécharger le fichier original )
par Guillaume HARRY
Conservatoire national des arts et métiers - Ingénieur 2012
  

sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Mémoire présenté en vue d'obtenir

Unité d'Enseignement ENG111

« Information et communication pour l'ingénieur »

Spécialité : Informatique

par

HARRY Guillaume

Les principales failles de sécurité des applications Web actuelles, telles que recensées par l'OWASP :
principes, parades et bonnes pratiques de développement.

Soutenu le 17/01/2012

JURY

PRESIDENTE : Nicole LEVY

MEMBRES : Selma BOUMERDASSI, Axel BUENDIA

Table des matières

1. INTRODUCTION 1

1.1 Contexte 1

1.2 Enjeux 2

2. APPLICATIONS WEB 3

2.1 Architecture 3

2.2 Composants du client Web 5

2.3 Composants serveur 6

3. FAILLES DE SÉCURITÉ 8

3.1 Injection 8

3.2 Cross-Site Scripting (XSS) 10

3.3 Violation de gestion d'authentification et de session 13

3.4 Référence directe non sécurisée à un objet 15

3.5 Falsification de requête inter-sites (CSRF) 16

3.6 Mauvaise configuration de sécurité 17

3.7 Stockage de données cryptographiques non sécurisé 18

3.8 Défaillance dans la restriction des accès à une URL 19

3.9 Protection insuffisante de la couche transport 20

3.10 Redirection et renvois non validés 21

4. BONNES PRATIQUES 23

4.1 Règles de développement 23

4.2 Configuration des composants serveur 23

4.3 Audit 24

5. CONCLUSION 25

5.1 Constat 25

5.2 Perspectives 25

6. BIBLIOGRAPHIE 26

1. TABLE DES FIGURES

Figure 1 - Transfert des données à travers la pile de protocoles d'Internet 3

Figure 2 - Pile de protocoles d'Internet 4

Figure 3 - Mode de fonctionnement des applications Web 5

Figure 4 - Mode de fonctionnement des applications Web 2.0 6

Figure 5 - Script SQL de création de la table « comptes » 8

Figure 6 - Requête SQL pour l'authentification et affichage du numéro de carte 8

Figure 7 - Script PHP pour l'authentification et l'affichage du numéro de carte 9

Figure 8 - Requête SQL incluant du code frauduleux d'injection 9

Figure 9 - Caractères spéciaux communément utilisés dans les attaques d'injection 10

Figure 10 - Script PHP pour remplacer les caractères par le code HTML 10

Figure 11 - Principe d'une attaque XSS par réflexion 11

Figure 12 - Exemple de lien malveillant exploitant une faille XSS 11

Figure 13 - Script SQL de création de la table « messages » 12

Figure 14 - Script PHP pour l'insertion dans la table « messages » 12

Figure 15 - Script PHP pour la recherche dans la table « messages » 12

Figure 16 - Caractères spéciaux à remplacer par leur code 13

Figure 17 - Script PHP pour positionner l'attribut de cookie HTTPOnly 13

Figure 18 - Script PHP pour l'affichage du numéro de carte 15

Figure 19 - Principe d'une attaque CSRF stockée 16

Figure 20 - Code HTML pour réaliser une attaque CSRF 17

Figure 21 - Script PHP vulnérable à l'attaque par traversée de chemin 19

Figure 22 - Script PHP non vulnérable à l'attaque par traversée de chemin 20

Figure 23 - Script PHP de redirection automatique 21

Figure 24 - Lien pour rediriger l'utilisateur vers une page malveillante 21

Figure 25 - Exemple de redirection automatique configurée au niveau du serveur http 22

sommaire suivant











Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

9Impact, le film from Onalukusu Luambo on Vimeo.