Pour l’Obtention Du Diplôme D’Ingénieur D’Etat








titrePour l’Obtention Du Diplôme D’Ingénieur D’Etat
page8/17
date de publication09.09.2018
taille0.5 Mb.
typeDocumentos
ar.21-bal.com > documents > Documentos
1   ...   4   5   6   7   8   9   10   11   ...   17

Les attaques Web les plus courantes



L’OWASP tient à jour un classement des 10 vulnérabilités les plus rencontrées dans les applications Web. Celles-ci sont données dans le tableau ci-dessous :

TOP 10 des vulnérabilités dans les applications WEB

Rang

Vulnérabilité

Description

1

Paramètres non validés

Les informations transmises avec la requête ne sont pas validées

avant d’être utilisées par l’application Web.

2


Faille dans le contrôle d’accès

Les restrictions sur ce que les utilisateurs authentifiés ont le droit

de faire ne sont assez solides. Un attaquant peut utiliser ces failles

pour accéder aux comptes d’autres utilisateurs, voir de fichiers sensibles ou utiliser des fonctions non-autorisées.

3


Vol de session

Le mécanisme de maintien de la session n’est pas assez sûr :

l’attaquant qui peut compromettre une clé de session ou un cookie

peut accéder aux privilèges d’un autre utilisateur

4

Cross-Site-Scripting (XSS)

L’application Web peut être utilisée comme intermédiaire pour attaquer l’un de ses utilisateurs et exécuter du code à son insu

dans le contexte de l’application Web , par exemple, voler sa clé de session.

5

Buffer Overflow (BOF)

L’application ne contrôle pas la dimension des paramètres

reçus avant de les écrire en mémoire. Cette faille peut être

utilisée pour aller y écrire du code exécutable et modifier le comportement de l’application.

6

Injection de commandes

L’application utilise lors de l’accès à des commandes

externes ou au système d’exploitation des paramètres

non-validés qui peuvent être utilisés par l’attaquant pour

exécuter des commandes malicieuses.

7

Mauvaise gestion des erreurs

La gestion des erreurs n’est pas réalisée correctement.

L’attaquant peut déclencher des erreurs qui ne sont pas gérées par l’application Web et ainsi obtenir des informations

détaillées sur le système, ou compromettre le serveur.

8

Mauvaise utilisation de la

Cryptographie

Les applications Web font fréquemment appel à des fonctions de cryptographie pour assurer l’intégrité et la confidentialité

des données. Certains de ses algorithmes ou leurs

implémentations peuvent comporter des failles de sécurité.

9

Faille dans l’administration distante

Beaucoup d’applications Web comportent un système

d’administration à distance, qui s’il n’est pas correctement

protégé, peut permettre à un attaquant de gagner les privilèges de l’administrateur.

10

Mauvaise configuration du serveur Web ou d’application

La sécurité de l’application Web repose sur celle du serveur Web,

du serveur d’application et du système d’exploitation. Ceux-ci ne sont généralement pas sécurisés avec la configuration par défaut.

Tableau II le classement des 10 vulnérabilités les plus rencontrées dans les applications Web [9]
    1. SQL injection



SQL est un langage structuré de requêtes, destinées à interroger ou à manipuler une base de données relationnelle. Le principe des injections SQL consiste à envoyer une requête SQL non prévue par le système. Cela permet à un utilisateur malveillant d’accéder, modifier ou supprimer des informations de la base de données. Par exemple si le site utilise la requête suivante pour identifier un utilisateur :

« SELECT user id WHERE user name = ’nasredine’ AND user password =

457b3a2af6879c417f8d1174760f62. »
Dans ce cas, si il n’y a aucune vérification sur la saisie de l’utilisateur, alors il suffit d’entrer : « nasredine’--» comme nom d’utilisateur pour s’identifier comme l’utilisateur nasredine.En effet en SQL « -- » signifie que ce qui va suivre est un commentaire, par conséquent la suite de la requête :

« AND user password = ’457b3a2af6879c4ff17f8d1174760f62’ » va être considée comme un commentaire d’où l’inutilité du mot de passe pour se connecter. voir le test sur les injections SQL de la partie 3
    1. Attaque XSS



La technique consiste à envoyer du code malicieux sur un site Web vulnérable, ce code sera interprété et exécuté par le navigateur des autres utilisateurs. Par exemple sur un forum présentant aucune sécurité pour ces attaques, si l’on envoie ce type de message « » , alors les utilisateurs qui souhaiteront lire les messages verront apparaitre une fenêtre contenant le message « bonjour » ,au lieu d’un simple message texte. Il existe plusieurs solutions pour contrer ces attaques notamment en interdisant les scripts à certains endroits du code, en vérifiant le format des données saisies par l’utilisateur ou encore en encodant les données entrées par l’utilisateur. voir le test sur les injections XSS de la partie 3
    1. Violation de contrôle d’accès



Cette technique consiste à exploiter une faiblesse de restriction des droits utilisateur, ce qui donne l’accès à d’autres comptes utilisateur avec leurs droits associés. Un paramétrage correct des droits utilisateur suffit à éviter ce genre d’attaque.
    1. Traitements inappropriés d’erreurs


Comme tout programme informatique, les applications Web peuvent connaitre des dysfonctionnements tels que l’inaccessibilité d’une ressource ou des problèmes liés à la mémoire.

La plupart du temps ces dysfonctionnements génèrent des codes d’erreur permettant leur identification par les concepteurs de l’application. Cependant il n’est pas rare que ces codes soient directement fournis à l’utilisateur via l’affichage d’une page Internet, ce qui représente une mine d’informations pour l’utilisateur malveillant, car cela l’informe sur la structure de l’application et sur ses vulnérabilités.

Exemple :

Connaitre l’OS du serveur Web
    1. Directory Traversal



L’utilisateur malicieux va structurer sa requête de sorte à obtenir une branche du système de fichiers au lieu d’un fichier. L’utilisateur peut ainsi accéder à des informations sensibles.

Par exemple il suffit d’utiliser la chaine « ../ » qui permet de remonter dans l’arborescence du système de fichiers et ainsi accéder à des informations non autorisées. Voir test Partie 3 du projet . voir le test sur les injections DT de la partie 3
    1. Dénis de service (DoS)



Une attaque est considérée comme un déni de service si un utilisateur bloque délibérément l’accès à un serveur, privant ainsi les autres utilisateurs de l’accès à celui-ci. Une technique possible consiste à saturer le serveur en lui envoyant des données inutiles. Il existe un dérivé de cette attaque qui repose sur une parallélisassions d’attaque DoS, simultanément menées par plusieurs systèmes contre un seul. Pour éviter de telles perturbations, il est possible d’utiliser une liste noire contenant les adresses IP des machines hostiles. Lorsque le serveur recevra une requête provenant d’une machine contenue dans sa liste noire, la requête sera rejetée [8].
1   ...   4   5   6   7   8   9   10   11   ...   17

similaire:

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconTHÈse pour l’obtention du diplôme de

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconExperience professionnelle apres obtention du diplôME

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconTHÈse pour le diplôme d’État

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconRecherche présenté en vue de l’obtention du Diplôme d’Etudes Appliquées

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconMoulo Didier coffi architecte Diplômé d’Etat concepteur/projeteur/dessinateur

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconThèse présentée pour l’obtention du grade de Docteur

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconListe des contacts pour l’obtention de la carte professionnelle de guide-conférencier

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconLa réforme de l'administration
«gérer l’Etat comme une entreprise», qui veut donc appliquer à l’Etat une opération de réduction des coûts, et pour lequel une réforme...

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconComment vos démarches se sont-elles déroulées pour l’obtention de votre visa ?

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconThèse Pour le diplôme d’archiviste paléographe








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com