Scribd Logo
Importer

Bienvenue sur Scribd !

  • Expose Sur Le Waf

    Transféré par

    Armando Benjamin NZO AYANG
    103 vues18 pages
    Les applications Web

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Les applications Web

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    103 vues18 pages

    Expose Sur Le Waf

    Transféré par

    Armando Benjamin NZO AYANG
    Les applications Web

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 18

    Thème: Web Application Firewall

    Thème: Web Application Firewall


    FA/PDP – DAKAR 2015
    INTRODUCTION
    Disponibles directement sur internet,
    utilisant de plus en plus du code partagé
    et traitant bien souvent des données
    sensibles (données bancaires, données
    clients…), les applications web sont
    devenues une cible privilégiée d’attaques
    pour les cybercriminels

    FA/PDP – DAKAR 2015


    contexte
     Les attaques de la couche applicative comme
    l'injection SQL, l'exécution de fichiers malveillants et le
    cross-site scripting,

     peuvent infiltrer un site Web en vue de le détériorer, ce


    qui a pour effet de réduire ses performances et
    d'exposer votre entreprise à des violations de
    données.

     Ces attaques visent plusieurs types de fonctionnalités


    au sein de votre site, qu'il s'agisse de cibler
    directement le site Web ou de transférer la logique
    vers une base de données en vue de compromettre
    les informations qu'elle contient.

    FA/PDP – DAKAR 2015


    contexte

    FA/PDP – DAKAR 2015


    Plan
    i. Qu’est ce qu’un WAF?

    ii. Comment ça marche ?

    iii. Mode de fonctionnement

    iv. Comment choisir son WAF?

    v. Comment se prémunir des attaques WEB

    vi. Conclusion

    FA/PDP – DAKAR 2015


    Quelque définition?

     Application web
     WEB 2.0

    FA/PDP – DAKAR 2015


    Qu’est ce qu’un WAF?
    Définition

    Un WAF constitue une mesure de sécurité applicative déployée entre un client Web et un
    serveur Web pour analyser en profondeur chaque requête et réponse pour toutes les
    formes de trafic Web communes. Un WAF identifie le trafic anormal ou malveillant pour
    l'isoler et le bloquer

    FA/PDP – DAKAR 2015


    Comment ça marche ?

    FA/PDP – DAKAR 2015


    Comment ça marche ?

     Intégré au serveur Web: qui sont directement embarqués


    au sein du serveur lui-même.
     Mode Parallèle/Sonde: ils adoptent le fonctionnement
    d’un IDS afin de détecter et d’émettre des alarmes en cas
    d’intrusion.

     Mode Intrusif/Reverse Proxy/réseau: le suivi des sessions,


    l’authentification et l’autorisation, les fonctionnalités
    réseaux avancées et bien sur sa capacité de réécriture
    des URLs.
    Comment choisir son WAF?

    FA/PDP – DAKAR 2015


    Comment choisir son WAF?

    FA/PDP – DAKAR 2015


    Quelques attaques?

    FA/PDP – DAKAR 2015


    Comment se prémunir des attaques WEB
    le WAF s’assure de la bonne conformité protocolaire en contrôlant
    Conformité protocolaire l’entête http, les champs de formulaire, l’URL, etc
    1.
    pour les attaques de type injection (SQL Injection, OS Command
    Protection contre les Injection, LDAP Injection, …), les WAFs se basent principalement
    2. injections SQL
    sur des signatures d’attaques en utilisant du « pattern matching »
    afin d’identifier un comportement anormal.
    Elle se base sur 2 principaux piliers :
    3. Protection DDOS un contrôle comportemental en analysant le nombre de requêtes
    par seconde (par utilisateur ou global),
    le temps de réponse des serveurs.
    le chiffrement SSL permet d’éviter le vol de cookies par un
    Prévention du vol de
    4. session HTTP
    sniffer. Ensuite le pare-feu peut également proposer un
    mécanisme de protection des cookies par signature ou par
    chiffrement.
    le pare-feu empêche à la fois la visualisation et la manipulation
    des cookies.
    FA/PDP – DAKAR 2015
    Comment se prémunir des attaques WEB

     Valider les inputs des users

     Utiliser des schémas d’encodage

     Bien configurer le firewall

     Avoir un plan de RDP surtout contre les attaques de type DOS

     Haute disponibilité

     Security Information Events Management

    FA/PDP – DAKAR 2015


    conclusion

    De par la richesse de ses fonctions de sécurité il est vrai qu’un pare-feu


    applicatif peu se rendre très utile voire obligatoire dans certaines situations mais
    il ne faut pas pour autant en négliger l’aspect sécurité lors de l’élaboration d’une
    application, le fameux « Secure by design ».

    FA/PDP – DAKAR 2015


    Bonus
    Salaire Ingénieur sécurité web

    Un jeune diplômé peut espérer gagner entre


    28 000 et 35 000 euros bruts par an et mieux encore
    un jeune cadre peut toucher jusqu'à 45 000
    euros bruts par an, et jusqu'à 70 000 euros
    bruts par an pour un cadre confirmé ou dans
    le cadre d'expertise très spécialisée.

    FA/PDP – DAKAR 2015


    webographie

     https://www.orientation.com/diplomes/master-pro-sciences-technologies-sante-mention-
    informatique-specialite-securite-des-systemes-dinformation-208147.html

     https://www.ssi.gouv.fr/particulier/precautions-elementaires/bonnes-pratiques-de-
    navigation-sur-linternet/

     https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project

    FA/PDP – DAKAR 2015


    MERCI

    Vous aimerez peut-être aussi