Académique Documents
Professionnel Documents
Culture Documents
3. Citer 4 mécanismes de sécurité pour atteindre les besoins D.I.C.P. et les définir. (02
pts)
Antivirus
Cryptographie
Pare-feu
Contrôle d’accès logique
Sécurité physique des équipements et locaux
1
d. Virus informatique : Les virus informatiques constituent des « attaques
massives » qui tendent à devenir de plus en plus ciblés sur un secteur d’activité
(télécommunication, banque, défense, énergie, etc.) devenir de plus en plus
sophistiqués et furtifs .
e. Le déni de service distribué (DDoS) : La déni de service distribué (DDoS)
constituent une « attaque ciblée » qui consiste à saturer un site Web de requêtes
pour le mettre « hors-service » à l’aide de « botnets », réseaux d’ordinateurs
infectés et contrôlés par les attaquants.
f.
2. Citer cinq vulnérabilités qu’un site web peut comporter. (01 pt)
Références directes non sécurisées
Mauvaise configuration de sécurité
Exposition de données sensibles
Manque de contrôle d’acces
Falsification de requetes intersites (CSRF)
Redirection et renvois non validés
Etc…. voir tableau suivant :
2
3. Citer 4 conséquences de l’injection de code. (02 pts)
– Fuite d’informations par le biais des messages d’erreurs du SGBD.
– Echapper une séquence d’authentification
– Extraction des données à partir de la base.
– Prendre le contrôle complet sur la BD (insertion de données, suppression des
tables, etc.)
– Exécuter des commandes sur le système.
– Compromettre le système.
4. Citer deux solutions contre chacune des menaces suivantes :
a. Injection de code ; (01 pt)
–Validation des toutes les entrées : utiliser « white list » qui accepte les bonnes
valeurs. Taille, type,..
– Utilisation des API saines évitant toute utilisation de l’interpréteur
Sinon, rejet des entrées contenant des données binaires, des séquences de
caractères d'échappement et des caractères de commentaire.
– Utilisation des procédures stockées pour valider les entrées.
– Paramétrer les messages d’erreurs.
– Appliquer le moindre privilège de connexion à la BD
b. XSS ; (01 pt)
–L’option à privilégier est d’échapper toute donnée non fiable selon le contexte
HTML dans lequel elle sera insérée.
– La validation positive des entrées est recommandée mais ne constitue pas
une protection suffisante en raison des différentes manières dont les
applications traitent leur contenu.
– Considérez Content Security Policy (CSP) pour se protéger des attaques XSS
sur l’ensemble de votre site
3
–S’assurer que l’utilisateur est l’auteur de la requête, soit par la
réauthentification, soit par la vérification que la demande n’est pas
automatisée.
– La meilleure option est d’inclure un jeton unique dans un champ caché. Ce
jeton, envoyé dans le corps de la requête HTTP, et non inséré à l’URL sera
ainsi potentiellement moins exposé.
– Le projet CSRF Guard de l’OWASP fournit des bibliothèques pour insérer
de tels jetons dans les applications Java EE, .NET, ou PHP
d. Redirections et renvois non validés ; (01 pt)
– Eviter l’utilisation des redirections et des renvois.
– En cas d’utilisation, ne pas utiliser de valeur de destination dans les
paramètres utilisateur. Ceci est généralement réalisable.
– Il est recommandé de ne pas utiliser d’URL dans les paramètres, mais plutôt
une valeur abstraite qui sera traduite côté serveur par une URL cible. Les
applications peuvent utiliser ESAPI afin de bénéficier de la fonction
sendRedirect() permettant de s’assurer que les redirections soient sûre
e. Références directes non sécurisées à un objet ; (01 pt)
–Eviter d’exposer les références aux objets (clés primaires, nom de fichiers,…)
– Valider toutes les références aux objets.
– Vérifier toujours l’autorisation aux objets référencés.
– Utiliser le modèle de sécurité positives pour accepter uniquement les bonnes
références aux objets
f. Violation de gestion d’authentification et de session. (01 pt)
– Mécanismes pour sécuriser les mots de passe
• choisir des mots de passe forts et complexes.
• Protection et stockage des mots de passe : chiffrement
• En cas de changement des mots de passe: ils doivent saisir l’ancien et
le nouveau, validation par e-mail,..
– Mécanismes sécurisés pour la gestion des IDs de session:
• Combiner l’@IP soure avec l’ID de session
• Chaque login génère un nouvel unique ID de session.
• Forcer la ré-authentification termine le session hijacking
• Terminer la session après un time out d’inactivité.
• L’ID de session doit être long, compliqué, aléatoire,..
• L’ID de session doit être protéger par SSL