Académique Documents
Professionnel Documents
Culture Documents
Qualys Was Guide FR
Qualys Was Guide FR
Sommaire
I. Lessentiel
V. propos de Qualys
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
Lessentiel
Les vulnrabilits au sein des applications Web sont dsormais le vecteur le plus
important des attaques diriges contre la scurit des entreprises. Lan dernier,
prs de 55% des vulnrabilits dvoiles concernaient des applications Web 1.
Selon ce mme rapport, la fin de lanne, aucun patch de remdiation ntait
disponible pour 74% des vulnrabilits affectant les applications Web. Les rcits
sur les exploits qui compromettent des donnes sensibles mettent souvent en
cause des attaques base de scripts intersite , d injection de code SQL et
de dbordement de la mmoire tampon . Les vulnrabilits de ce genre ne
relvent gnralement pas de lexpertise traditionnelle des responsables de la
scurit rseau. Par consquent, lobscurit relative des vulnrabilits des
applications Web est prcieuse pour mener des attaques. Comme lont constat
de nombreuses entreprises, ces attaques rsisteront aux dfenses classiques du
rseau dentreprise, moins que vous ne preniez de nouvelles prcautions. Pour
vous aider savoir comment minimiser ces risques, Qualys vous propose ce
guide dintroduction la scurit des applications Web. Ce guide fait le point sur
les vulnrabilits qui affectent gnralement les applications Web. Il compare
aussi les options de dtection disponibles et prsente la solution Web
Application Scanning (WAS) de la suite QualysGuard, un nouveau service la
demande fourni par Qualys pour automatiser la dtection des vulnrabilits les
plus courantes au sein des applications Web personnalises.
page 2
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 3
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
page 4
Des attaques de type Fixation de session (ou Session Fixation) forcent lidentifiant de la session dun
utilisateur sur une valeur explicite.
Lusurpation de contenu (ou Content Spoofing) leurre un utilisateur en lui faisant croire quun certain
contenu saffichant sur un site Web est lgitime et quil ne provient pas dune source externe.
Le script intersite (ou Cross-site Scripting - XSS) force un site Web relayer le code excutable fourni par
un pirate et le charger dans le navigateur Web de lutilisateur.
Les attaques par dbordement de la mmoire tampon (ou Buffer Overflow) altrent le flux dune
application en crasant certaines parties de la mmoire.
Une attaque de type Format String altre le flux dune application en utilisant les fonctionnalits dune
bibliothque de formatage de chanes pour accder un autre espace mmoire.
Les attaques par injection LDAP exploitent les sites Web en construisant des instructions LDAP partir
des informations saisies par lutilisateur.
La prise de contrle distance du systme dexploitation (ou OS Commanding) excute des commandes
du systme dexploitation sur un site Web en manipulant les donnes entres dans lapplication.
Linjection de code SQL construit des instructions SQL sur une application de site Web partir des
informations saisies par lutilisateur.
Linjection SSI (Server-Side Include) envoie du code dans une application Web qui est ensuite excute
localement par le serveur Web.
Linjection XPath construit des requtes XPath partir des informations saisies par un utilisateur.
Lindexation de rpertoires (ou Directory Indexing) est une fonction automatique de serveur Web pour le
listage/lindexation de rpertoires qui affiche tous les fichiers dun rpertoire demand en labsence du fichier
de base normal.
Une fuite dinformations se produit lorsque un site Web divulgue des donnes sensibles telles que les
commentaires dun dveloppeur ou des messages derreur, ce qui peut aider un pirate exploiter le systme.
Une attaque par traverse de rpertoires (ou Path Traversal) force laccs aux fichiers, dossiers et
commandes pouvant se trouver en dehors du dossier racine du document Web.
Une attaque sur les lieux prvisibles des ressources (ou Predictable Resource Location) rvle le contenu
et les fonctionnalits cachs dun site Web.
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
Navigation authentifie
Prcision garantie par rduction relle des fausses alertes et des alertes non
pertinentes
Comme un scanner na pas accs au code source dune application Web, le seul
moyen pour lui de dtecter les vulnrabilits est de simuler des attaques contre
lapplication cible. La dure de lanalyse varie, mais simuler une attaque
denvergure sur une application prend beaucoup plus de temps que deffectuer
Le nombre de vulnrabilits
affectant les applications Web
sest dvelopp une vitesse
vertigineuse. En 2008, les
vulnrabilits affectant les
applications de serveur Web
reprsentaient 54% de toutes les
vulnrabilits connues. Elles
taient lun des principaux
facteurs de laugmentation globale
des vulnrabilits dvoiles au
cours de lanne.
page 5
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
une analyse des vulnrabilits du rseau sur une seule adresse IP. Lun des
prrequis majeurs pour un scanner de vulnrabilits des applications Web est de
pouvoir analyser pleinement les fonctionnalits de lapplication cible. Si la
couverture est partielle, le scanner ignorera les vulnrabilits existantes.
Navigation &
dcouverte de
liens
Authentification
page 6
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
Liste noire
Liste blanche
Optimisation des
performances
Contenu sensible
Des rapports tels que le Web Application Scorecard offrent une vue globale et une visibilit
en profondeur des vulnrabilits pour chaque application Web
page 7
Scurit des Applications Web: Comment Minimiser les Risques dAttaques les plus Courants
A propos de Qualys
Qualys, Inc. est le principal fournisseur de solutions la demande pour la
gestion des vulnrabilits et de la conformit sous la forme de services (SaaS).
Dployables en quelques heures seulement partout dans le monde, les solutions
SaaS de Qualys fournissent aux entreprises une vue immdiate et permanente
de ltat de leur scurit et de leur conformit.
Actuellement utilis par plus de 3500 entreprises dans 85 pays, dont 40 des 100
premires socits mondiales du classement tabli par Fortune, le service
QualysGuard ralise plus de 200 millions daudits IP par an. Qualys a opr le
plus important dploiement de ressources de gestion des vulnrabilits au
monde au sein dune socit figurant parmi les 50 premires entreprises
mondiales du classement Fortune.
Qualys a sign des accords stratgiques avec des fournisseurs de services
dinfogrance ( managed services ) de premier ordre et des cabinets de
conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec,
Tata Communications, TELUS et VeriSign.
Pour de plus amples informations, rendez-vous sur www.qualys.com.
www.qualys.com
USA Qualys, Inc. 1600 Bridge Parkway, Redwood Shores, CA 94065 T: 1 (650) 801 6100 sales@qualys.com
Royaume-Uni Qualys, Ltd. 224 Berwick Avenue, Slough, Berkshire, SL1 4QT T: +44 (0) 1753 872101
Allemagne Qualys GmbH Mnchen Airport, Terminalstrasse Mitte 18, 85356 Mnchen T: +49 (0) 89 97007 146
France Qualys Technologies Maison de la Dfense, 7 Place de la Dfense, 92400 Courbevoie T: +33 (0) 1 41 97 35 70
Japon Qualys Japan K.K. Pacific Century Place 8F, 1-11-1 Marunouchi, Chiyoda-ku, 100-6208 Tokyo T: +81 3 6860 8296
Hong Kong Qualys Hong Kong Ltd. 2/F, Shui On Centre, 6-8 Harbour Road, Wanchai, Hong Kong T: +852 2824 8488
Qualys, the Qualys logo and QualysGuard are registered trademarks of Qualys, Inc. All other trademarks are the property of their respective owners. 04/09
page 8