<!-- If the browser does not support frames put the first topic content here --> <div class="WordSection1"> <p class="titredocument">Exploitation d'une plateforme d’apprentissage des vulnérabilités des applications web</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.85pt;border-collapse:collapse'> <tr style='height:11.25pt'> <td width="125" style= 'width:93.4pt;border:solid navy 1.0pt;border-right:none; background:#6699CC;padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Propriétés</span></p> </td> <td width="491" style= 'width:368.35pt;border:solid navy 1.0pt;background:#6699CC; padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Description</span></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé long</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications web</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé court</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Sécurisation des applications web</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Formation concernée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">BTS Services Informatiques aux Organisations</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Matière</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Bloc 3 : Cybersécurité des services informatiques en deuxième année SLAM</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Présentation</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Cet atelier a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae (OWASP) afin de se familiariser avec les principales vulnérabilités des applications web.</p> <p class="Standard">Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP (page 4).</p> <p class="Standard">Dans un premier temps, Vous devez réaliser les attaques associées à chaque vulnérabilité.</p> <p class="Standard">Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Notions</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Paragraphedeliste1" align="left" style= 'margin-left:0cm;text-align: left;layout-grid-mode:char'> <b>Activités supports de l’acquisition des compétences</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><b>D4.1 – Maintenance d'une solution applicative</b></p> <p class="Standard" align="left" style= 'margin-left:36.0pt;text-align:left; text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> A4.2.1 Analyse et correction d'un dysfonctionnement, d'un problème de qualité de service ou de sécurité.</p> <p class="Standard" align="left" style= 'text-align:left;layout-grid-mode:char'><b>Savoir-faire</b></p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Programmer un composant logiciel.</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Adapter un composant logiciel.</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Valider et documenter un composant logiciel.</p> <p class="Standard" style='layout-grid-mode:char'><b>Savoirs associés</b></p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Techniques de sécurisation.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Prérequis</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'><i>Commandes de base d’administration d’un système Linux</i>, langages PHP et JavaScript.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Outils</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Deux machines virtualisées (sous Virtualbox) sont fournies avec Linux (Debian 9) comme système d’exploitation.</p> <p class="Standard" style='layout-grid-mode:char'> </p> <p class="Standard" style='layout-grid-mode:char'>Site officiel : https://www.owasp.org</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Mots-clés</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">OWASP, Mutillidae, BurpSuite, vulnérabilités, SQLi, XSS.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Durée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Une heure de présentation et une heure environ pour chaque activité.</p> </td> </tr> </table> <p class="Standard"> </p> <p class="Standard"> </p> <div style= 'border:none;border-top:solid black 1.0pt;padding:1.0pt 0cm 0cm 0cm'> <p class="MsoFooter" style= 'page-break-before:always;border:none;padding:0cm'> </p> </div> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195775">I.<span style= 'color:windowtext;text-decoration:none'> </span> Introduction<span style= 'color:windowtext;text-decoration:none'>..................................................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195776">1.<span style= 'color:windowtext;text-decoration:none'> </span> La sécurité des applications web<span style= 'color:windowtext;text-decoration:none'>.................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195777">1.1.1.I.1.1<span style= 'color:windowtext;text-decoration:none'>...............................................</span> Les applications web sont partout<span style= 'color:windowtext;text-decoration: none'> </span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195778">1.1.1.I.1.2<span style= 'color:windowtext;text-decoration:none'>..........................</span> La sécurisation des applications web est indispensable<span style= 'color:windowtext; text-decoration:none'>...............................................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195779">2.<span style= 'color:windowtext;text-decoration:none'> </span> Les motifs des attaques<span style= 'color:windowtext;text-decoration:none'>.............................................................</span> <span style= 'color:windowtext;text-decoration:none'>3</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195780">II.<span style= 'color:windowtext;text-decoration:none'> </span> Présentation d'OWASP<span style= 'color:windowtext;text-decoration:none'>................................................................</span> <span style= 'color:windowtext;text-decoration:none'>3</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195781">1.<span style= 'color:windowtext;text-decoration:none'> </span> La communauté OWASP<span style= 'color:windowtext;text-decoration:none'>............................................................</span> <span style= 'color:windowtext;text-decoration:none'>3</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96195782">2.<span style= 'color:windowtext;text-decoration:none'> </span> Le top 10 d'OWASP<span style= 'color:windowtext;text-decoration:none'>...................................................................</span> <span style= 'color:windowtext;text-decoration:none'>4</span></a></span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'>I.<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195775">Introduction</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'>1.<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195776">La sécurité des applications web</a></h5> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'> 1.1.1.I.1.1<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195777">Les applications web sont partout</a></h6> <p class="Standard">Aujourd'hui, les applications web sont partout. Elles sont utilisées quotidiennement dans nos activités personnelles ou professionnelles (réseaux sociaux, achats en lignes, démarches administratives…). Toute entreprise ou administration se doit d'avoir un site web. Ces applications facilitent les échanges et les transactions car elles sont accessibles de partout à l'aide d'un simple navigateur sur un smartphone ou un ordinateur de bureau.</p> <p class="Standard"> </p> <p class="Standard">Si au début des sites web, les aspects techniques et fonctionnels étaient suffisants, ce n'est plus du tout le cas aujourd'hui. L'actualité nous rappelle régulièrement que des entreprises voient leur site web attaqué. Les conséquences peuvent être lourdes (perte de données, baisse du chiffre d'affaire, effondrement de la réputation…). Avec comme enjeu, la survie de l'entreprise selon la gravité de l'attaque subie.</p> <p class="Standard"> </p> <p class="Standard">En outre, Le <b>règlement règlement général sur la protection des données</b> (<b>RGPD),</b> mis en place au sein de l’Union Européenne, oblige les entreprises à assurer la sécurité des données personnelles qu’elles collectent.</p> <p class="Standard"> </p> <p class="Standard"> </p> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'> 1.1.1.I.1.2<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195778">La sécurisation des applications web est indispensable</a></h6> <p class="Standard">La sécurité des applications web est donc devenue un enjeu stratégique. Lors de son édition 2016, la société EY (http://www.ey.com/fr) a montré qu'une majorité des entreprises mondiales n'a pas de stratégie en matière de lutte contre les cybermenaces<a href="start.htm#_ftn1" name="_ftnref1" title= ""><span class="MsoFootnoteReference"><span class= "MsoFootnoteReference"><span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'>[1]</span></span></span></a>.</p> <p class="Standard"> </p> <p class="Standard">Au delà de l'aspect fonctionnel des outils de développement, il est indispensable pour tout développeur de savoir identifier les vulnérabilités potentielles et de prendre en compte les menaces en adaptant son développement à l'aide de bonnes pratiques. La phase de test ne doit pas se limiter au fonctionnement attendu du code mis en œuvre mais elle doit aussi anticiper les utilisations malveillantes comme les injections de code SQL dans les formulaires.</p> <p class="Standard"> </p> <p class="Standard">Afin de mettre en place une veille stratégique sur la sécurisation des applications web, le groupe OWASP a développé une base de données qui recense la liste des incidents de sécurité recensés sur les applications web. Cette base nommée WASC-WHID (Web application Security Consortium - Web Hacking Database Project) permet de disposer de statistiques sur les failles de sécurité relevées sur les applications web. Les incidents sont déclarés et enregistrés afin d’alimenter une base de connaissance.</p> <p class="Standard"> </p> <p class="Standard">Le lien permettant d’accéder aux outils WHID est le suivant :</p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" align="left" style='text-align:left'> <i><a href="https://www.owasp.org/index.php/OWASP_WASC_Web_Hacking_Incidents_Database_Project"> <span style= 'color:navy;text-decoration:none'>https://www.owasp.org/index.php/OWASP_WASC_Web_Hacking_Incidents_Database_Project</span></a></i></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'>2.<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195779">Les motifs des attaques</a></h5> <p class="Standard">Les sites web peuvent être attaqués pour plusieurs raisons :</p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="302" valign="top" style= 'width:226.75pt;border:solid black 1.0pt; border-right:none;background:#CCCCFF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">MOTIFS</p> </td> <td width="302" valign="top" style= 'width:226.75pt;border:solid black 1.0pt; background:#CCCCFF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">EXPLICATIONS</p> </td> </tr> <tr> <td width="302" valign="top" style= 'width:226.75pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard"> </p> <p class="Standard">Propagande</p> </td> <td width="302" valign="top" style= 'width:226.75pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">Certaines personnes peuvent attaquer un site pour des raisons politiques ou pour défendre une cause particulière (hacktivistes).</p> </td> </tr> <tr> <td width="302" valign="top" style= 'width:226.75pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">Distraction</p> </td> <td width="302" valign="top" style= 'width:226.75pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">Des personnes peuvent voir dans l'attaque de sites web une distraction ou un défi à relever.</p> </td> </tr> <tr> <td width="302" valign="top" style= 'width:226.75pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard"> </p> <p class="Standard">Vol de données</p> </td> <td width="302" valign="top" style= 'width:226.75pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">Le vol de données lucratif, pour effectuer du chantage ou pour copier le savoir d'un concurrent sur un marché.</p> </td> </tr> <tr> <td width="302" valign="top" style= 'width:226.75pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard"> </p> <p class="Standard">Machine zombie</p> </td> <td width="302" valign="top" style= 'width:226.75pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">Le serveur cible est utilisé dans un réseau destiné à faire des attaques distribuées par déni de service (DDOS), du stockage de fichiers illégaux, de l’envoi de spams …</p> </td> </tr> </table> <h4> </h4> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'>II.<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195780">Présentation d'OWASP</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'>1.<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195781">La communauté OWASP</a></h5> <p class="Standard">OWASP (Open Web Application Security project) est une communauté travaillant sur la sécurité des applications web. Elle a pour but de publier des recommandations de sécurisation des sites web et propose des outils permettant de tester la sécurité des applications web.</p> <p class="Standard"><img width="160" height="70" src= "owasp-presentation_fichiers/image001.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:blue'> </span></p> <p class="Standard"><span style='color:blue'> </span></p> <p class="Standard"><span style='color:blue'> </span></p> <p class="Standard"><span style='color:blue'> </span></p> <p class="Standard" align="center" style='text-align:center'> <i><span style='font-size:11.0pt;color:#0000CC'>Site officiel :</span></i> <span class="Citation1"><span style= 'color:#0000CC'>https://www.owasp.org/</span></span></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'>2.<span style= 'font:7.0pt "Times New Roman"'> </span> <a name="_Toc96195782">Le top 10 d'OWASP</a></h5> <p class="Standard">OWASP fournit une liste des risques de sécurité des applications web les plus courants. En 2017, OWASP a mis à jour son classement afin de sensibiliser les développeurs web aux risques encourus. Les 10 risques classés par ordre de dangerosité sont les suivants :</p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="180" colspan="2" valign="top" style= 'width:122.0pt;border:solid black 1.0pt; border-right:none;background:#CCCCFF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> RISQUES</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border:solid black 1.0pt; border-right:none;background:#CCCCFF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> DÉFINITIONS</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; background:#CCCCFF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> ACTIVITÉS</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> A1</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> INJECTION</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents">Correspond au risque d'injection SQL (SQLi).</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> 1</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> A2</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> BROKEN AUTHENTICATION AND SESSION MANAGEMENT</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond au risque de casser la gestion de l’authentification et de la session. Comprend notamment le vol de session (session hijacking) ou la récupération de mots de passe.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'> </p> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'> </p> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'>2</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> A3</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> CROSS SITE SCRIPTING (XSS)</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond au XSS soit l’injection de contenu dans une page, ce qui provoque des actions non désirées sur une page Web. Les failles XSS sont particulièrement répandues parmi les failles de sécurités Web.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'> </p> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'>3</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> A4</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> INSECURE DATA OBJECT REFERENCE (IDOR)</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond aux failles de sécurité des identifiants (ID) de données visualisées. Nécessite de mettre en place un contrôle d’accès aux données.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'> </p> <p class="Textbody" align="center" style= 'margin-bottom:0cm;margin-bottom:.0001pt; text-align:center'>4</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> A5</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> SECURITY MISCONFIGURATION</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond aux failles de configuration liées aux serveurs Web, applications, base de données ou framework.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> 5</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> A6</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> SENSITIVE DATA EXPOSURE</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond aux failles de sécurité liées aux données sensibles comme les mots de passe, les numéros de carte de crédit ou encore les données personnelles et la nécessité de crypter ces données.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> 6 ?</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> A7</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> MISSING FUNCTION LEVEL ACCESS CONTROL</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond aux failles de sécurité liées aux accès non souhaitables à une fonctionnalité.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> 7 ?</p> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> </p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> A8</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> CROSS SITE REQUEST FORGERY</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond aux failles liées à l’exécution de requêtes à l’insu de l’utilisateur.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> 8 ?</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> A9</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> USING COMPONENT WITH KNOWN VULNERABILITIES</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody" style= 'margin-bottom:0cm;margin-bottom:.0001pt'>Correspond aux failles liées à l’utilisation de composants tiers.</p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> 9 ?</p> </td> </tr> <tr> <td width="38" valign="top" style= 'width:28.5pt;border-top:none;border-left:solid black 1.0pt; border-bottom:solid black 1.0pt;border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> A10</p> </td> <td width="143" valign="top" style= 'width:93.5pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> UNVALIDATED REDIRECTS AND FORWARDS</p> </td> <td width="342" valign="top" style= 'width:269.25pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Textbody">Correspond aux failles liées aux <i>redirect</i> et <i>forward</i> générique des applications. </p> </td> <td width="83" valign="top" style= 'width:62.25pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents" align="center" style='text-align:center'> </p> <p class="TableContents" align="center" style='text-align:center'> 10 ?</p> </td> </tr> </table> <p class="Standard"> </p> <p class="Standard"> </p> </div> <div><br clear="all" /> <hr align="left" size="1" width="33%" /> <div id="ftn1"> <p class="Standard" align="left" style='text-align:left'><a href= "start.htm#_ftnref1" name="_ftn1" title=""><span class= "MsoFootnoteReference"><span class= "MsoFootnoteReference"><span style= 'font-size:10.0pt;font-family:"Arial",sans-serif; color:navy'>[1]</span></span></span></a> <span style='font-size:8.0pt;color:#0000CC'><a href= "http://www.lemondeinformatique.fr/actualites/lire-55-des-entreprises-mondiales-n-identifient-pas-les-vulnerabilites-67146.html"> <span style= 'color:#0000CC;text-decoration:none'>http://www.lemondeinformatique.fr/actualites/lire-55-des-entreprises-mondiales-n-identifient-pas-les-vulnerabilites-67146.html</span></a></span></p> </div> </div>
Table des matières
Sujets
Recherche
I. Introduction
1. La sécurité des applications web
1.1.1.I.1.1 Les applications web sont partout
1.1.1.I.1.2 La sécurisation des applications web est indispensable
2. Les motifs des attaques
II. Présentation d'OWASP
1. La communauté OWASP
2. Le top 10 d'OWASP
1.1.1.I.1.1 Les applications web sont partout
1.1.1.I.1.2 La sécurisation des applications web est indispensable
1. La communauté OWASP
1. La sécurité des applications web
2. Le top 10 d'OWASP
2. Les motifs des attaques
I. Introduction
II. Présentation d'OWASP
Générée avec
chmProcessor
Générée avec
chmProcessor