Oct07 2009

Top 10 des failles web les plus courantes

Tags : web | faille | virus | top 10 | internet | directoid

1 1.
Oubli de valider les entrées des utilisateurs.
Un classique, qui permet aux pirates de faire accepter des commandes au serveur à travers un formulaire web ou une simple URL, ou d'exécuter des contenus dynamiques (Javascript, par exemple) chez les autres utilisateurs d'un site.
2 2.
Contrôle d'accès inefficace
Mauvaise mise en oeuvre des outils de contrôle d'accès (fichier .htpasswd lisible par tous, mots de passes nuls par défaut, etc...).
3 3.
Mauvaise gestion des sessions
Cela permet aux pirates de
4 4.
Un autre grand classique, lui aussi lié à un manque de contrôle des entrées de l'utilisateur. Cette faille touche les sites web qui laissent les internautes publier du code HTML susceptible d'être vu par les autres utilisateurs du site (dans un forum, par exemple). Cela permet d'exécuter des contenus dynamiques sur les navigateurs des internautes, avec les droits associés au site web.
5 5.
Dépassement de mémoire tampon.
Une faille vieille comme le monde, qui frappe certains langages de programmation plus que d'autres (le C, par exemple). Si des composants CGI sont (mal) écrits dans ces langages, il peut-être simple de compromettre totalement le serveur par une telle attaque.
6 6.
Injection de commandes.
Là encore, la source de la faille est un manque de contrôle des entrées de l'utilisateur. Elle permet au pirate de faire exécuter des commandes au serveur (au système d'exploitation ou à un serveur SQL, par exemple) en les attachant à une entrée web légitime avant que celle-ci ne soit transmise au serveur.
7 7.
Mauvaise gestion des erreurs.
Les messages d'erreur utiles aux développeurs le sont souvent aussi pour les pirates ! Il faut donc penser à les supprimer une fois le développement terminé.
8 8.
Mauvaise utilisation du chiffrement.
La mise en oeuvre du chiffrement au sein des applications web se révèle ardue. Des développeurs non spécialisés peuvent commettre des erreurs difficiles à déceler et créer ainsi une protection illusoire
9 9.
Failles dans l'administration distante.
C'est la voie royale : si les pages réservées aux administrateurs du site ne sont pas réellement protégées (authentification forte du client, chiffrement, contrôles réguliers...), un pirate peut prendre le contrôle du site sans avoir à pirater le serveur. Une aubaine, en quelque sorte.
10 10.
Mauvaise configuration du serveur web et des applications.
Un classique : le serveur web qui permet de lister n'importe quel répertoire, ou les outils de développement qui laissent des versions temporaires des fichiers, lisibles par tout le monde. Avant de mettre un serveur en ligne, il est bon de faire le ménage et de bien comprendre toutes les options de ses fichiers de configuration...

: Un groupe de recherche Open Source publie la liste des dix failles web les plus courantes. L'objectif est de réveiller les administrateurs et les développeurs, qui souvent ignorent jusqu'aux vulnérabilités les plus simples. C'est aussi une bonne check-list pour valider son propre site. L'OWASP (Open Web Application Security Project) est un projet Open Source. Il réunit des experts bénévoles autour d'un objectif commun : éduquer les professionnels du web en matière de sécurité. Le groupe vient pour cela de publier la liste des dix failles les plus courantes sur le web. Elles sont pour la plupart connues depuis très longtemps mais, étrangement, de nombreux projets web en sont encore victimes aujourd'hui. L'objectif avoué de l'OWASP est de donner une arme aux entreprises lorsqu'elles commandent un développement web : elles peuvent désormais inclure dans le contrat avec leur prestataire cette liste de failles stupides à éviter. Toutes sont parfaitement parables, pour peu que l'on se donne la peine de les connaître.

p>Parcourez notre site et vous y trouverez le classement des meilleures informations sous forme de top 10. En effet, la fonction principale de Directoid.com est de mettre à votre disposition des tops 10. Le top du top, la quintessence, la crème de l'information y est répertoriée par liste de 10 éléments. Feuilletez nos pages et vous trouverez une bonne quantité d'informations qui vous intéresseront. La notion de top 10 est utilisée pour se concentrer uniquement sur les meilleures infos. Merci de visiter Directoid. Nous espérons vous revoir bientôt consulter nos tops 10.

Bookmark and Share
« Top 10 précédentTop 10 suivant »

À lire aussi

Commentaires des lecteurs : 1

Écrit le: 2009-10-08 par bart simpzon

Top 10 des failles web les plus courantes

Yo les développeur web. En effet, les pirates vont essayer d'utiliser les formulaires web pour y insérer du contenu dans les champs qui leur permettront de détruire des enregistrements dans une base de données. Je l'ai vécu dernièrement. On apprend de ses erreurs :).

Ajouter un commentaire

Désolé.. zone de commentaire fermé sur l'ancienne version du site.

Haut de page
Directoid.com