Scribd Logo
Importer

Bienvenue sur Scribd !

  • Projet 4 Vuln Rabilit FFDDF

    Transféré par

    Joackim
    30 vues4 pages

    Titre original

    Projet_4___Vuln_rabilit__ffddf

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    30 vues4 pages

    Projet 4 Vuln Rabilit FFDDF

    Transféré par

    Joackim

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    Projet 4 :

    17 mars 2022
    Table des matières
    1 Injection SQL 2
    1.1 Vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
    1.2 Vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

    1
    1 Injection SQL
    1.1 Vulnérabilité
    Les qualités professionnelles de l’auditeur de la sécurité de l’information sont une des conditions
    de succès de sa mission et une assurance quant à la valeur ajoutée que l’organisme audité tirera
    de l’exercice. Si l’auditeur ne fait pas déjà partie de l’organisme, son choix doit être fait de façon
    judicieuse. L’auditeur doit, en plus de sa formation générale, faire la preuve d’une solide expérience
    dans le domaine. La gouvernance de la sécurité de l’information couvrant des secteurs divers,
    l’auditeur doit avoir les connaissances requises, non seulement celles concernant la portée et les
    exigences relatives à la sécurité de l’information, mais aussi à la gouvernance des technologies
    de l’information, à l’architecture technologique et à la gestion des risques en matière de sécurité,
    etc. L’auditeur doit par ailleurs démontrer une complète indépendance, en fait et en apparence,
    concernant tous les sujets sur lesquels portera son travail et il ne doit pas être en position de
    conflit d’intérêts. Il est aussi recommandé que le professionnel qui effectue l’audit de la sécurité de
    l’information possède de grandes qualités relationnelles, puisque ses tâches le mettront constamment
    en contact avec le personnel de l’organisme.
    Code :
    Statement st= con.createStatement();
    ResultSet rs=st.executeQuery("select * from utilisateurs where ident='"+identifiant+"'
    and pass='"+motDePasse+"' limit 0,1");

    1.2 Vulnérabilité
    Dans le code ci-dessous, on peut s’aperçevoir que les mot de passe sont stocké en clair dans la base
    de données. Si cette base de donnée est compromise par un eventuel attaquant, alors l’attaquant
    pourra avoir un accès direct aux comptes d’utilisateurs car il peut se connecter en utilisant la paire
    nom d’utilisateur-mot de passe en clair recueillie à partir de la base de données.

    Sécurité des ressources humaines : Cette section donne des recommandations pour réduire le risque
    d’erreur ou de fraude favorisant la formation et la sensibilisation des utilisateurs sur les menaces
    affectant la sécurité de l’information, ainsi que les comporte- ments à adopter pour protéger l’in-
    formation. • Gestion des actifs : Cette section décrit la nécessité d’inventorier et de classifier les
    actifs infor- mationnels de l’organisme, dans le but d’identifier les besoins et le niveau de protection
    adapté à ces actifs. • Contrôle d’accès : Cette section définit les mesures pour gérer et contrôler les
    accès à l’infor- mation afin d’assurer la protection des systèmes en réseau. Elle couvre éga- lement
    la sécurité de l’information lors de l’utilisation d’appareils mobiles. • Cryptographie : Cette section
    traite les mesures visant à protéger la confidentialité et l’inté- grité de l’information par des moyens
    cryptographiques. • Sécurité physique et environnementale : Cette section définit les mesures pour
    protéger les lieux et les locaux de l’organisme contre les accès non autorisés, et pour minimiser les
    dommages causés par les menaces environnementales. Elle traite également la sécurité des matériels
    afin de réduire les menaces liés aux risques de vol, et de fuites d’information. DGSSI 8 Guide d’Au-
    dit de la Sécurité des Systèmes d’Information • Sécurité liée à l’exploitation : Cette section définit
    les mesures permettant d’assurer une exploitation cor- recte et sécurisée des moyens de traitement
    de l’information (protection contre les logiciels malveillants, maitrise des logiciels en exploitation,
    et ges- tion des vulnérabilités techniques). • Sécurité des communications : Cette section définit les

    2
    mesures d’une part, pour assurer la protection des informations sur les réseaux et la protection de
    l’infrastructure sur laquelle ils s’appuient, et d’autre part, pour maintenir la sécurité des informa-
    tions et des logiciels échangés au sein de l’organisme et avec une entité extérieure. • Acquisition,
    développement et maintenance des systèmes d’information : Cette section traite les spécifications
    requises pour assurer la sécurité des systèmes d’information tout au long de leur cycle de vie.

    Vous aimerez peut-être aussi