Académique Documents
Professionnel Documents
Culture Documents
13 décembre 2021
LES GRANDES CATÉGORIES D’ATTAQUES ET LES DISPOSITIFS
DE SÉCURITÉ ASSOCIÉS
4. Rupture protocolaire
Client Serveur
1. le client initie une requête en envoyant un message de type ClientHello,
contenant notamment les suites cryptographiques qu’il prend en charge ;
10. le serveur envoie à son tour un Finished, son premier message sécurisé.
Etapes de réalisation :
Clients Serveurs
Google.com
Proxy
Internet
Paris1.fr
Cache
Facebook.com
Google.com
Cache
Reverse Proxy
Internet
Facebook.com Paris1.fr
Système d’information et sécurité
10
financière
C1 - Interne
ARCHITECTURE DU SYSTÈME D’INFORMATION
Fonctionnement des réseaux IP : modèle OSI
Google.com
Internet
Facebook.com Paris1.fr
Système d’information et sécurité
12
financière
C1 - Interne
LES GRANDES CATÉGORIES D’ATTAQUES ET LES DISPOSITIFS
DE SÉCURITÉ ASSOCIÉS
4. Rupture protocolaire
Clients Serveurs
1 2
4 3
GET http://www.google.fr/search.php?r=paris
4 3 site1.fr
site2.com
site3.fr
15
C1 - Interne
ATTAQUE PAR INJECTION D’UNE REQUÊTE SQL
Requête SQL exécuté par le serveur lorsque la valeur saisie est : X’ OR user_id > 0
- SELECT first_name, last_name FROM users WHERE user_id = ‘X’ OR user_id > 0’
TEST :
- 1’ or ‘0’=‘0
3. Gestion de l’authentification
1. Authentifiant
4. Authentification centralisée
4. Autres attaques
1. Cross Site Scripting
5. Ingénierie sociale
Ce que je
connais
Ce que
Ce que
je
je suis
possède
TEST :
- Localhost/[…]/?username=identifiant1&password=motdepasse1&login=l
ogin#
- Localhost/[…]/?username=identifiant1&password=motdepasse2&login=l
ogin#
password ID ID password
TEST :
3. Gestion de l’authentification
1. Authentifiant
4. Authentification centralisée
4. Autres attaques
1. Cross Site Scripting
3. Ingénierie sociale
1. Un utilisateur se connecte au
site. Le serveur lui attribut le
3 numéro de session 1.
2. L’utilisateur exécute contre sa
volonté le script injecté.
2
3. Le script envoi au pirate les
4 informations de session
4. Le pirate se connecte avec la
1 session volée.
TEST :
<script>alert(document.cookie)</script>
<iframe
src=« http://www.lemonde.fr »></iframe>
1. Un utilisateur se connecte au
site.
2 2. Le pirate lui envoi un lien afin
de faire exécuter une requête
pas l’utilisateur.
3. L’utilisateur clique et exécute
la requête.
1
3
TEST :
http://localhost/[...]/?password_new=pwd1
&password_conf=pwd1&Change=Change#