Institut Suprieur Des Sciences Appliques Et De Technologie
Les Risques, Les
Syst Propos par : Dr.
Ralis par : Universit De Sousse Institut Suprieur Des Sciences Appliques Et De Technologie Sousse
Risques, Les Attaque, la scurit Module : Systmes Repartis
Date : Dr. Takoua Abdellatif Mr : Shili Mohamed Institut Suprieur Des Sciences Appliques Et De Technologie De
Date : 28/02/2014 Master Recherche en informatique SPI
2
I. Les risques lis la scurit des applications Web Quelles bonnes pratiques pour mettre en uvre une application Web scurise ? Face aux risques lis la scurit des applications Web, il est primordial pour les Organisations de mettre en uvre les bonnes pratiques permettant dobtenir des applications Disposant dun niveau de scurit suffisant par rapport aux risques mtier. Ces bonnes pratiques doivent tre mises en uvre pa r les diffrents acteurs du projet, de manire complmentaire et cohrente. La scurit doit tre prise en compte de manire proactive et non ractive, tout au long du cycle de vie du projet, et non ajoute et teste la fin du cycle de dveloppement. La prise en compte des aspects scurit le plus en amont possible permet en outre doptimiser les cots et les dlais de ralisation. En effet, plus la scurit est prise en compte tardivement dans les tapes de dveloppement, plus le cot de correction des failles est lev Les bonnes pratiques de scurit suivantes doivent tre mises en uvre lors des diffrentes tapes du cycle de dveloppement : Formation et sensibilisation Les failles dans les applications web sont dues un manque de respect des bonnes pratiques par les acteurs lors dune tape du cycle de dveloppement, quil sagisse de la conception, de limplmentation ou de lintgration. Tous les membres dune quipe projet doivent donc tre sensibiliss aux enjeux et risques de scurit, et forms aux mcanismes d e scurit de base. Identification des besoins et apprciation des risques Lidentification des besoins de scurit est fondamentale. Cest durant cette tape que sont prises en compte les caractristiques fonctionnelles pouvant avoir un impact sur la scurit ainsi que les besoins de scurit identifis par le mtier : ouverture sur Internet, sensibilit des donnes manipules, accessibilit 24h/24, Conception et implmentation Des API ou un Framework scurit qui vitent davoir recrer des mcanismes de scurit de base (authentification, filtrage des donnes, etc.).
Master R
II. Failles de scur 1. Types dattaq Le WASC tablit dans son rapport WASC Threat Classification une liste exhaustive des menaces qui psent sur la scurit des applications Web. Elles sont regroupes en six catgories dfinies dans la version 2004 de ce rapport. La catgorie authentifi systme de validation de l'identit d'un utilisateur, d'un service ou d'une application. La catgorie autorisation couvre l'ensemble des attaques de sites Web dont la cible est le systme de vrification des droits d'un utilisateur, d'un service ou d'une application pour effectuer une action dans l'application. La catgorie excution de commandes englobe toutes les attaques qui permettent d'excuter des commandes sur un des composants de l'architecture du site Web. 2. Types de scurit Une faille d'injection se produit quand une donne non fiable est envoye un interprteur en tant qu'lment d'une commande ou d'une requte. Les donnes hostiles de l'attaquant peuvent duper l'interprteur afin de l'amener excuter des commandes inhabituelles accder des donnes non autorises. La dfaillance dans la restriction des accs une URL se produit quand une application Web ne protge pas l'accs aux URL. Les applications doivent effectuer des contrles d'accs similaires chaque fois que ces pages sont accdes, sinon les attaquants seront en mesure de forger des URL pour accder ces pages caches.
Master Recherche en informatique SPI 3 rit ques Le WASC tablit dans son rapport WASC Threat Classification une liste exhaustive des menaces qui psent sur la scurit des applications Web. Elles sont regroupes en six catgories dfinies dans la version 2004 de ce rapport. La catgorie authentification regroupe les attaques de sites Web dont la cible est le systme de validation de l'identit d'un utilisateur, d'un service ou d'une application. La catgorie autorisation couvre l'ensemble des attaques de sites Web dont la cible de vrification des droits d'un utilisateur, d'un service ou d'une application pour effectuer une action dans l'application. e excution de commandes englobe toutes les attaques qui permettent d'excuter des commandes sur un des composants de l'architecture du site Web. scurit le d'injection se produit quand une donne non fiable est envoye un interprteur en tant qu'lment d'une commande ou d'une requte. Les donnes hostiles de l'attaquant peuvent duper l'interprteur afin de l'amener excuter des commandes inhabituelles accder des donnes non autorises. La dfaillance dans la restriction des accs une URL se produit quand une application e protge pas l'accs aux URL. Les applications doivent effectuer des contrles d'accs similaires chaque fois que ces pages sont accdes, sinon les attaquants seront en mesure de forger des URL pour accder ces pages caches.
Le WASC tablit dans son rapport WASC Threat Classification une liste exhaustive des menaces qui psent sur la scurit des applications Web. Elles sont regroupes en six catgories dfinies dans la version 2004 de ce rapport. cation regroupe les attaques de sites Web dont la cible est le systme de validation de l'identit d'un utilisateur, d'un service ou d'une application. La catgorie autorisation couvre l'ensemble des attaques de sites Web dont la cible de vrification des droits d'un utilisateur, d'un service ou d'une e excution de commandes englobe toutes les attaques qui permettent d'excuter des commandes sur un des composants de l'architecture du site Web.
le d'injection se produit quand une donne non fiable est envoye un interprteur en tant qu'lment d'une commande ou d'une requte. Les donnes hostiles de l'attaquant peuvent duper l'interprteur afin de l'amener excuter des commandes inhabituelles ou La dfaillance dans la restriction des accs une URL se produit quand une application e protge pas l'accs aux URL. Les applications doivent effectuer des contrles d'accs similaires chaque fois que ces pages sont accdes, sinon les attaquants seront en Master R
III. Traitement de la scurit
Un conteneur dit "lger"
SPRING est un conteneur dit lger , c'est un serveur d'application J2EE. Il prend donc en charge la cration d'objets et la mise en relation d'objets par l'intermdiaire d'un fichier de configuration qui dcrit les objets fabriquer et les relations de dpendances entre ces objets.
Les avantages de Spring L'avantage par rapport aux serveurs d'application est qu'avec SPRING, vos classes n'ont pas besoin d'implmenter une quelconque interface pour tre prises en charge par le framework (au contraire des serveurs d'applications J2EE et des EJBs). C'est en ce lger . Outre cette fabrique d'objets, SPRING propose tout un ensemble d'abstractions permettant de grer entre autres : Le mode transactionnel L'appel d'EJBs La cration d'EJBs La persistance d'objets La cration d'une interface Web L'appel et la cration de WebServices Spring s'appuie principalement sur l'intgration de trois concepts cls : L'inversion de contrle ou injection de dpendance : ce n'est plus l'application qui gre les appels aux frameworks mai l'application La programmation oriente aspect Une couche d'abstraction qui permet d'intgrer d'autres frameworks et bibliothques avec une plus grande facilit
Master Recherche en informatique SPI 4 Traitement de la scurit avec Spring Security Un conteneur dit "lger" SPRING est un conteneur dit lger , c'est--dire une infrastructure similaire d'application J2EE. Il prend donc en charge la cration d'objets et la mise en relation d'objets par l'intermdiaire d'un fichier de configuration qui dcrit les objets fabriquer et les relations de dpendances entre ces objets. Les avantages de Spring L'avantage par rapport aux serveurs d'application est qu'avec SPRING, vos classes n'ont pas besoin d'implmenter une quelconque interface pour tre prises en charge par le framework (au contraire des serveurs d'applications J2EE et des EJBs). C'est en ce sens que SPRING est qualifi de conteneur Outre cette fabrique d'objets, SPRING propose tout un ensemble d'abstractions permettant de grer entre autres : Le mode transactionnel
La cration d'EJBs La persistance d'objets tion d'une interface Web L'appel et la cration de WebServices Spring s'appuie principalement sur l'intgration de trois concepts cls : L'inversion de contrle ou injection de dpendance : ce n'est plus l'application les appels aux frameworks mais le framework qui gere les appels de La programmation oriente aspect Une couche d'abstraction qui permet d'intgrer d'autres frameworks et bibliothques avec une plus grande facilit
dire une infrastructure similaire d'application J2EE. Il prend donc en charge la cration d'objets et la mise en relation d'objets par l'intermdiaire d'un fichier de configuration qui dcrit les objets fabriquer et les relations de dpendances entre ces objets. L'avantage par rapport aux serveurs d'application est qu'avec SPRING, vos classes n'ont pas besoin d'implmenter une quelconque interface pour tre prises en charge par le framework (au contraire des serveurs d'applications sens que SPRING est qualifi de conteneur Outre cette fabrique d'objets, SPRING propose tout un ensemble d'abstractions Spring s'appuie principalement sur l'intgration de trois concepts cls : L'inversion de contrle ou injection de dpendance : ce n'est plus l'application s le framework qui gere les appels de Une couche d'abstraction qui permet d'intgrer d'autres frameworks et Master Recherche en informatique SPI
Secrets du Marketing des Médias Sociaux 2021: Conseils et Stratégies Extrêmement Efficaces votre Facebook (Stimulez votre Engagement et Gagnez des Clients Fidèles)
La communication professionnelle facile à apprendre: Le guide pratique de la communication professionnelle et des meilleures stratégies de communication d'entreprise
L'analyse fondamentale facile à apprendre: Le guide d'introduction aux techniques et stratégies d'analyse fondamentale pour anticiper les événements qui font bouger les marchés
Apprendre Python rapidement: Le guide du débutant pour apprendre tout ce que vous devez savoir sur Python, même si vous êtes nouveau dans la programmation