Institut Suprieur Des Sciences Appliques Et De Technologie

Les Risques, Les

Syst
Propos par : Dr.

Ralis par :
Universit De Sousse
Institut Suprieur Des Sciences Appliques Et De Technologie
Sousse

Risques, Les Attaque, la scurit
Module :
Systmes Repartis

Date
: Dr. Takoua Abdellatif
Mr : Shili Mohamed
Institut Suprieur Des Sciences Appliques Et De Technologie De



Date : 28/02/2014
Master Recherche en informatique SPI

2

I. Les risques lis la scurit des applications Web
Quelles bonnes pratiques pour mettre en uvre une application Web scurise ?
Face aux risques lis la scurit des applications Web, il est primordial pour les
Organisations de mettre en uvre les bonnes pratiques permettant dobtenir des
applications Disposant dun niveau de scurit suffisant par rapport aux risques mtier.
Ces bonnes pratiques doivent tre mises en uvre pa r les diffrents acteurs du
projet, de manire complmentaire et cohrente. La scurit doit tre prise en compte de
manire proactive et non ractive, tout au long du cycle de vie du projet, et non ajoute
et teste la fin du cycle de dveloppement. La prise en compte des aspects scurit le
plus en amont possible permet en outre doptimiser les cots et les dlais de ralisation. En
effet, plus la scurit est prise en compte tardivement dans les tapes de
dveloppement, plus le cot de correction des failles est lev
Les bonnes pratiques de scurit suivantes doivent tre mises en uvre lors des diffrentes
tapes du cycle de dveloppement :
Formation et sensibilisation
Les failles dans les applications web sont dues un manque de respect des bonnes pratiques
par les acteurs lors dune tape du cycle de dveloppement, quil sagisse de la
conception, de limplmentation ou de lintgration. Tous les membres dune quipe
projet doivent donc tre
sensibiliss aux enjeux et risques de scurit, et forms aux mcanismes d e scurit
de base.
Identification des besoins et apprciation des risques
Lidentification des besoins de scurit est fondamentale. Cest durant cette tape que sont
prises en compte les caractristiques fonctionnelles pouvant avoir un impact sur la scurit
ainsi que les besoins de scurit identifis par le mtier : ouverture sur Internet, sensibilit
des donnes manipules, accessibilit 24h/24,
Conception et implmentation
Des API ou un Framework scurit qui vitent davoir recrer des mcanismes de
scurit de base (authentification, filtrage des donnes, etc.).



Master R

II. Failles de scur
1. Types dattaq
Le WASC tablit dans son rapport WASC Threat Classification une liste
exhaustive des menaces qui psent sur la scurit des applications Web. Elles sont
regroupes en six catgories dfinies dans la version 2004 de ce rapport.
La catgorie authentifi
systme de validation de l'identit d'un utilisateur, d'un service ou d'une application.
La catgorie autorisation couvre l'ensemble des attaques de sites Web dont la cible
est le systme de vrification des droits d'un utilisateur, d'un service ou d'une
application pour effectuer une action dans l'application.
La catgorie excution de commandes englobe toutes les attaques qui permettent
d'excuter des commandes sur un des composants de l'architecture du site Web.
2. Types de scurit
Une faille d'injection se produit quand une donne non fiable est envoye un interprteur
en tant qu'lment d'une commande ou d'une requte. Les donnes hostiles de l'attaquant
peuvent duper l'interprteur afin de l'amener excuter des commandes inhabituelles
accder des donnes non autorises.
La dfaillance dans la restriction des accs une URL se produit quand une application
Web ne protge pas l'accs aux URL. Les applications doivent effectuer des contrles
d'accs similaires chaque fois que ces pages sont accdes, sinon les attaquants seront en
mesure de forger des URL pour accder ces pages caches.

Master Recherche en informatique SPI
3
rit
ques
Le WASC tablit dans son rapport WASC Threat Classification une liste
exhaustive des menaces qui psent sur la scurit des applications Web. Elles sont
regroupes en six catgories dfinies dans la version 2004 de ce rapport.
La catgorie authentification regroupe les attaques de sites Web dont la cible est le
systme de validation de l'identit d'un utilisateur, d'un service ou d'une application.
La catgorie autorisation couvre l'ensemble des attaques de sites Web dont la cible
de vrification des droits d'un utilisateur, d'un service ou d'une
application pour effectuer une action dans l'application.
e excution de commandes englobe toutes les attaques qui permettent
d'excuter des commandes sur un des composants de l'architecture du site Web.
scurit
le d'injection se produit quand une donne non fiable est envoye un interprteur
en tant qu'lment d'une commande ou d'une requte. Les donnes hostiles de l'attaquant
peuvent duper l'interprteur afin de l'amener excuter des commandes inhabituelles
accder des donnes non autorises.
La dfaillance dans la restriction des accs une URL se produit quand une application
e protge pas l'accs aux URL. Les applications doivent effectuer des contrles
d'accs similaires chaque fois que ces pages sont accdes, sinon les attaquants seront en
mesure de forger des URL pour accder ces pages caches.


Le WASC tablit dans son rapport WASC Threat Classification une liste
exhaustive des menaces qui psent sur la scurit des applications Web. Elles sont
regroupes en six catgories dfinies dans la version 2004 de ce rapport.
cation regroupe les attaques de sites Web dont la cible est le
systme de validation de l'identit d'un utilisateur, d'un service ou d'une application.
La catgorie autorisation couvre l'ensemble des attaques de sites Web dont la cible
de vrification des droits d'un utilisateur, d'un service ou d'une
e excution de commandes englobe toutes les attaques qui permettent
d'excuter des commandes sur un des composants de l'architecture du site Web.

le d'injection se produit quand une donne non fiable est envoye un interprteur
en tant qu'lment d'une commande ou d'une requte. Les donnes hostiles de l'attaquant
peuvent duper l'interprteur afin de l'amener excuter des commandes inhabituelles ou
La dfaillance dans la restriction des accs une URL se produit quand une application
e protge pas l'accs aux URL. Les applications doivent effectuer des contrles
d'accs similaires chaque fois que ces pages sont accdes, sinon les attaquants seront en
Master R

III. Traitement de la scurit

Un conteneur dit "lger"

SPRING est un conteneur dit lger , c'est
un serveur d'application J2EE. Il prend donc en charge la cration d'objets et
la mise en relation d'objets par l'intermdiaire d'un fichier de configuration qui
dcrit les objets fabriquer et les relations de dpendances entre ces objets.

Les avantages de Spring
L'avantage par rapport aux serveurs d'application est qu'avec SPRING, vos
classes n'ont pas besoin d'implmenter une quelconque interface pour tre
prises en charge par le framework (au contraire des serveurs d'applications
J2EE et des EJBs). C'est en ce
lger .
Outre cette fabrique d'objets, SPRING propose tout un ensemble d'abstractions
permettant de grer entre autres :
Le mode transactionnel
L'appel d'EJBs
La cration d'EJBs
La persistance d'objets
La cration d'une interface Web
L'appel et la cration de WebServices
Spring s'appuie principalement sur l'intgration de trois concepts cls :
L'inversion de contrle ou injection de dpendance : ce n'est plus l'application
qui gre les appels aux frameworks mai
l'application
La programmation oriente aspect
Une couche d'abstraction qui permet d'intgrer d'autres frameworks et
bibliothques avec une plus grande facilit

Master Recherche en informatique SPI
4
Traitement de la scurit avec Spring Security
Un conteneur dit "lger"
SPRING est un conteneur dit lger , c'est--dire une infrastructure similaire
d'application J2EE. Il prend donc en charge la cration d'objets et
la mise en relation d'objets par l'intermdiaire d'un fichier de configuration qui
dcrit les objets fabriquer et les relations de dpendances entre ces objets.
Les avantages de Spring
L'avantage par rapport aux serveurs d'application est qu'avec SPRING, vos
classes n'ont pas besoin d'implmenter une quelconque interface pour tre
prises en charge par le framework (au contraire des serveurs d'applications
J2EE et des EJBs). C'est en ce sens que SPRING est qualifi de conteneur
Outre cette fabrique d'objets, SPRING propose tout un ensemble d'abstractions
permettant de grer entre autres :
Le mode transactionnel

La cration d'EJBs
La persistance d'objets
tion d'une interface Web
L'appel et la cration de WebServices
Spring s'appuie principalement sur l'intgration de trois concepts cls :
L'inversion de contrle ou injection de dpendance : ce n'est plus l'application
les appels aux frameworks mais le framework qui gere les appels de
La programmation oriente aspect
Une couche d'abstraction qui permet d'intgrer d'autres frameworks et
bibliothques avec une plus grande facilit



dire une infrastructure similaire
d'application J2EE. Il prend donc en charge la cration d'objets et
la mise en relation d'objets par l'intermdiaire d'un fichier de configuration qui
dcrit les objets fabriquer et les relations de dpendances entre ces objets.
L'avantage par rapport aux serveurs d'application est qu'avec SPRING, vos
classes n'ont pas besoin d'implmenter une quelconque interface pour tre
prises en charge par le framework (au contraire des serveurs d'applications
sens que SPRING est qualifi de conteneur
Outre cette fabrique d'objets, SPRING propose tout un ensemble d'abstractions
Spring s'appuie principalement sur l'intgration de trois concepts cls :
L'inversion de contrle ou injection de dpendance : ce n'est plus l'application
s le framework qui gere les appels de
Une couche d'abstraction qui permet d'intgrer d'autres frameworks et
Master Recherche en informatique SPI

5

Rfrences

[1]http://www.lemonde.fr/technologies/article/2009/08/20/130-millions-de-cartesbancaires-
piratees-aux-etats-unis_1230199_651865.html
[2]http://www.zdnet.fr/actualites/internet/0,39020774,39703886,00.htm
[3]http://pro.01net.com/editorial/379143/une-attaque-massive-transforme-des-sitesweb-en-
nids-a-virus/)
[4]https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
[5]http://www.owasp.org/index.php/OWASP_Top_Ten_Project
[6]http://www.opensamm.org/
[7]http://www.owasp.org/index.php/Threat_Risk_Modeling
[8]http://www.owasp.org/index.php/Category:OWASP_Guide_Project
[9]http://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
[10]http://www.owasp.org/index.php/Category:OWASP_Testing_Project