Easy-Micro

TECHNIQUE Sécurité Web
Fiabilité Web

Tests d'intrusion et audits du code source

Sécuritéeacute; Tests d'intrusion
Réaliser soi-même ce que fera un hacker. On se place dans des conditions réelles d'attaque :

Simple recherche
Identifier l'ensemble des informations accessibles sur Internet en rapport avec l'entreprise et le site Web.

Injection SQL
Voir le tutorial Easy-MICRO sur le langage SQL

Cross-site scripting (XSS)
La détection de la présence d'une faille XSS peut se faire par exemple en entrant un script Javascript dans un champ de formulaire ou dans une URL :

<script type="text/javascript">alert('bonjour')</script>

Si une boîte de dialogue apparaît, on peut en conclure que votre site Internet est sensible aux attaques de type XSS. Solution PHP : utiliser la fonction htmlspecialchars() qui filtre les '<' et '>' ou la fonction strip_tags() qui supprime les balises.

Sécurité Audit de sécurité
Un "scanner de vulnérabilité" est un utilitaire permettant de réaliser un audit de sécurité d'un réseau en effectuant un balayage des ports ouverts (en anglais port scanning) sur une machine donnée ou sur un réseau tout entier.
Voir un outil tel que Nessus.

Sécurité Audit du code source
Réaliser des tests applicatifs et l'analyse du code source du site Internet afin d'identifier les mauvaises pratiques.

Source :
- journaldunet
- Wikipedia.org (Cross-site scripting)


< Page précédente SéCURITé WEB Page suivante >