Sécuriser les applications web

Dimension: px
Commencer à balayer dès la page:

Download "Sécuriser les applications web"

Transcription

1 SÉCURITÉ RÉSEAUX TONY FACHAUX Degré de difficulté Sécuriser les applications web L'article présente d'une manière générale les moyens techniques à mettre en œuvre pour sécuriser les applications web d'une entreprise. Cette sécurisation passe par la mise en place d'un WAF (Web Application Firewall). Dans cet article, nous utiliserons le mod_security d'apache pour expliquer la mise en œuvre de ce type de protection. Aujourd'hui, les attaques sont de moins en moins réalisées sur les serveurs ou sur les réseaux car ils sont de mieux en mieux protégés. La majeure partie des vulnérabilités se trouvent dans les applications et les applications Web sont aujourd hui extrêmement répandues. C est pour cela que des équipements, appelés WAF (Web Application Firewall ou Firewall applicatif en français), font leur apparition et sont maintenant un maillon indispensable dans la sécurité d une architecture. Pour répondre à ce besoin, il existe une multitude d appliances sur le marché telles Flux HTTP/HTTPS CET ARTICLE EXPLIQUE... Ce qu'est un WAF (Web Application Firewall). Comment filtrer les attaques Web. CE QU'IL FAUT SAVOIR... Quelques notions sur le protocole HTTP. DMZ Web Flux HTTP Serveur Web Figure 1. Architecture Web sécurisée par un WAF DMZ Publique WAF (Web AQpplication Firewall) 68 HAKIN9 3/2010

2 SÉCURISER LES APPLICATIONS WEB Deny All, F5 ou encore Barracuda. Mais nous parlerons ici de mod_security2 qui est un module de filtrage applicatif pouvant être couplé avec un Apache configuré en reverse proxy. Tout ceci est plus communément appelé un reverse proxy filtrant. Qu'est ce qu'un reverse proxy Il convient ici de définir ce qu est un reverse proxy. Comme son nom l indique, un reverse proxy est le contraire d un proxy! Le reverse proxy se place en frontal derrière le firewall. Derrière lui, se cache un ou plusieurs serveur web. Le reverse proxy peut faire de la répartition de charge et/ou du filtrage ce que nous allons voir ici en pratique. Le filtrage se réalise de deux manières : soit par liste blanche, soit par liste noire. La liste blanche est la plus sûre mais la plus difficile à configurer. Son but consiste à tout bloquer et à n autoriser que le trafic sûr (typiquement le fonctionnement d un pare-feu réseau). Une tâche difficile pour des applications qui génèrent beaucoup de données aléatoires. La quasi-impossibilité de connaître tout le bon trafic est un autre élément de difficulté. Une liste blanche mal générée risque d'altérer le fonctionnement de l application. Dans certains cas, nous sommes donc obligés d'opter pour la liste noire qui consiste à bloquer tout le mauvais trafic. Mais qui peut prétendre connaître tout le mauvais trafic de l Internet? Personne! C est donc pour cette raison que la liste blanche est plus sûre bien que pas toujours évidente à implémenter. L'architecture La figure 1 représente un schéma basique d'une architecture web protégée par un WAF. Les clients sur Internet interrogent le reverse proxy en HTTP ou en HTTPS selon l'application. Le reverse proxy filtrant analyse les requêtes web, les autorise ou non et redirige les requêtes en HTTP au serveur web correspondant. Le reverse proxy est généralement placé dans une DMZ publique car elle est joignable depuis l'extérieur et les serveurs web sont, quant La configuration du reverse proxy La configuration du reverse proxy est contenue dans le fichier httpd.conf de notre Apache situé en frontal derrière le firewall. Il faut d abord vérifier que les modules sont correctement chargés : LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_connect_module modules/mod_proxy_connect.so Ensuite, il faut réaliser la configuration du reverse proxy : ProxyRequests Off ServerName IP_de_la_web_application ProxyPass / ProxyPassReverse / Nous avons réalisé une configuration basique du reverse proxy. Il est aussi évident ici que dans un cas réel, nous configurerions une authentification mais ce n est pas le but de cet article. La documentation officielle de mod_proxy est très bien faite à ce sujet. Figure 2. Trace générée par mod_security2 Figure 3. Fichier de configuration de mod_security2 Figure 4. News déposée sur Joomla 3/2010 HAKIN9 69

3 SÉCURITÉ RÉSEAUX à eux, placés dans une DMZ spécifique. L application web que nous utiliserons en appui du présent article sera un Joomla STABLE. Cette application n est volontairement pas la dernière version afin de tester aisément l exploitation de failles dans l application. Expliquons rapidement le principe de fonctionnement. Un utilisateur sur Internet désirant se connecter sur Joomla entre dans son navigateur Internet l adresse du reverse proxy (rappelez-vous qu il est placé en frontal). Son navigateur affichera alors Joomla. L utilisateur se connecte en Listing 1. Un exemple d'attaque CSRF Je vais gagner <script type="text/javascript"> window.onload = function() { var url = "http://ip_joomla/joomla/administrator/index2.php"; var gid = 25; var user = 'mechant'; var pass = 'mechant'; var = var param = { name: user, username: user, , password: pass, password2: pass, gid: gid, block: 0, option: 'com_users', task: 'save', send 1 }; var form = document.createelement('form'); form.action = url; form.method = 'post'; form.target = 'hidden'; form.style.display = 'none'; HTTP ou en HTTPS, le reverse proxy se chargera ensuite de relayer les requêtes vers Joomla en HTTP. Configuration de l'architecture L'architecture se compose des éléments suivants : Un serveur web hébergeant l'application web Joomla Un reverse proxy filtrant Nous ne détaillerons pas complètement l'installation de ces serveurs mais for (var i in param) { try { // ie var input = document.createelement('<input name="'+i+'">'); } catch(e) { // other browsers partons du principe qu'il dispose de la configuration suivante : un OS FreeBSD avec Apache 2.2, PHP5 et MySQL. Le reverse proxy dispose du mod_proxy d'apache pour fonctionner en reverse proxy et le serveur web hébergera l'application Joomla. Le mod_security Mod_security est un module d Apache permettant de transformer un Apache configuré en reverse proxy en firewall applicatif. Il faut savoir que mod_security dispose d une communauté très active et commence à être de plus en répandu. La grande force de mod_security est de pouvoir filtrer à 5 niveaux : En-têtes de requêtes Corps des requêtes En-têtes de réponses Corps des réponses Journalisation Cela fait de mod_security un outil de filtrage très puissant pour les applications web. Installation L'installation de mod_security sous FreeBSD se fait simplement: cd /usr/ports/www/mod_security2 && make install clean Passons maintenant à la préparation de la configuration Comme pour le reverse proxy, nous devons vérifier que les modules sont correctement chargés dans Apache. Le module mod_unique permet à mod_security d identifier de manière unique chaque requête reçue : } } var input = document.createelement('input'); input.name = i; input.setattribute('value', param[i]); form.appendchild(input); LoadModule unique_id_module libexec/ apache22/mod_ unique_id.so Chargement du module mod_security2 : document.body.appendchild(form); form.submit(); } </script> <iframe name="hidden" style="display: none"></iframe> LoadModule security2_module libexec/ apache22/mod_ security2.so Configuration de mod_security2 : 70 HAKIN9 3/2010

4 SÉCURISER LES APPLICATIONS WEB Include etc/apache22/includes/*.conf Tous les fichiers de configuration de mod_security se trouvent dans /usr/ local/etc/apache22/includes/mod _ security2 (cf. Figure 2). Le fichier de configuration principal est modsecurity_crs_10_config.conf. Les autres fichiers représentent les règles ModSecurity Core Rules qui fonctionnent en liste noire et qui représentent une protection de base intéressante contre une quantité d attaques connues. Paramétrage de mod_ security2 Voici le détail du paramétrage du fichier de configuration principal de mod_security : SecRuleEngine On : Activation du module mod_security. Ce module intercepte les requêtes et les bloque ou laisse passer selon la configuration. Cette option peut être bloquée ou simplement active sans blocage (active à des fins de logs). SecRequestBodyAccess On : les règles qui inspectent le corps des requêtes sont actives. SecResponseBodyAccess On : les règles qui inspectent le corps des réponses sont actives. SecDefaultAction : Détermine l action par défaut lorsqu aucune règle ne s applique. Plusieurs options peuvent y être spécifiées comme log pour loguer, deny pour arrêter l application, etc. Une grande particularité de mod_security est qu il log beaucoup plus d informations qu Apache. Pour cela, il faut configurer les paramètres suivants : SecAuditEngine RelevantOnly : seuls les échanges ayant été détectés sont enregistrés SecAuditLog : spécifie le chemin vers le journal Voici un exemple de traces que génère mod_security dans notre situation (cf. Figure 3). A ce stade, nous avons un mod_ security2 fonctionnel avec les ModSecurity Core rules. Notre application web est donc correctement protégée en liste noire à condition, bien sûr, de mettre à jour régulièrement les Core rules. Le but étant de faire de la liste blanche, nous verrons par la suite comment orienter la configuration vers ce mode de fonctionnement. Paramétrage personnalisé Avant tout, il convient d expliquer comment personnaliser la configuration de mod_ security manuellement. Pour cela, il faut ajouter un fichier.conf au répertoire de mod_security. Ce fichier.conf sera pris en compte puisque nous lui avons indiqué : Include etc/apache22/include/*.conf Afin d éditer des règles, il faut utiliser la directive SecRule avec cette syntaxe : SecRule Variables Opérateur [Actions] Pour avoir la documentation complète des paramètres utilisables, rendez-vous Figure 5. Editeur de règles REMO sur le site officiel de mod_security. Une multitude de règles peuvent être écrites. Vous trouverez plus loin dans cet article les règles que nous avons éditées pour bloquer notre attaque. En voici quelques-unes : Bloquer l accès au répertoire joomla dans une url : SecFilter /joomla/ Interdire la méthode TRACE : SecFilterSelective REQUEST_METHOD «TRACE» Vous trouverez plusieurs exemples de règles dans l article d HSC qui se trouve 3/2010 HAKIN9 71

5 SÉCURITÉ RÉSEAUX dans la partie références de cet article. Vous y trouverez des règles permettant de bloquer des SQL injection ainsi que des failles XSS. Pour mettre en place du filtrage par liste noire, ces règles sont intéressantes. Sur Internet Un tutorial pour débuter avec REMO. Le site officiel de mod_security. Le site de ouadjet. Un article d'hsc traitant de mod_ security. Un article d'hsc traitant d'apache en relais inverse. La documentation officielle de mod_proxy. Listing 2. Règles mod_security # Location au niveau du site joomla <LocationMatch "^/joomla/administrator/index2.php(.*)$"> # Traitement de la balise "Referer" SecRule REQUEST_HEADERS:Referer "!^(http:// /joomla/administrator/(.*))$" "t:none,deny,id:3,status:501,severity:3,msg:'header Referer failed # Aucune vérification sur le "Cookie" SecRule REQUEST_HEADERS:Cookie "!^(.*)$" "t:none,deny,id:3,status:501,severity:3,msg:'header Cookie failed validity check. Value domain: Custom.'" # All checks passed for this path. Request is allowed. SecAction "allow,id:4,t:none,msg:'request passed all checks, it is thus allowed.'" </LocationMatch> <LocationMatch "^/joomla/administrator/(.*)$"> # traitement de la balise "Referer" en prenant en compte cette fois la possibilité de venir du fichier index.php SecRule REQUEST_HEADERS:Referer "!^((http:// /joomla/administrator/(.*)) (http:// /j oomla/index.php(.*)))$" "t:none,deny,id:3,status:501,severity:3,msg:'header Referer failed validity check. Value domain: Custom.'" # Aucune vérification sur le "Cookie" SecRule REQUEST_HEADERS:Cookie "!^(.*)$" "t:none,deny,id:3,status:501,severity:3,msg:'header Cookie failed validity check. Value domain: Custom.'" </LocationMatch> <LocationMatch "^/joomla/(.*)$"> # aucun traitement de la balise "Referer" SecRule REQUEST_HEADERS:Referer "!^(.*)$" "t:none,deny,id:1,status:501,severity:3,msg:'header Referer failed validity check. Value domain: Custom.'" # Vérifie que le "Cookie" n'existe pas SecRule REQUEST_HEADERS:Cookie "( d38c9c e2b9c0a260e=)(.*)$" "t:none,deny,id:1,status:501,severity:3,msg:'header Cookie failed validity check. </LocationMatch> # Bloque tout <LocationMatch "^/.*$"> SecAction "deny,status:501,severity:3,msg:'unknown request. Access denied by fallback rule.'" </LocationMatch> Démonstration d'une attaque sur Joomla Nous avons réalisé une attaque sur notre installation de Joomla pour ensuite tester son blocage avec mod_security2. Explication de l'attaque : 1/ Création d'un utilisateur classique dans Joomla. 2/ Cet utilisateur dépose ensuite une news dans Joomla avec un lien contenant cette attaque (Figure 4). Le lien cliquez ici contient du code malveillant que voici (cf Listing 1). Et lorsqu un administrateur ira sur cette news et cliquera sur le lien, un nouveau compte root mechant/mechant se créera dans la base de données utilisateurs de joomla. Le filtrage par liste blanche L objectif de la liste blanche est d interdire ce qui n est pas explicitement autorisé. Cela peut être assez facile pour une application dont les processus sont entièrement maitrisés. Cela devient beaucoup plus compliqué pour une application non maîtrisée et relativement lourde en fonctionnalités. Au vu de la tâche que cela implique, dans le cadre de notre étude, nous ne tenterons pas de protéger l ensemble de l application mais seulement quelques parties du système et, notamment, le protéger contre l attaque proposée dans la partie précédente. Nous allons dans un premier temps ne mettre aucune règle de filtrage et mettre le reverse proxy en mode apprentissage afin de loguer au maximum ce qui se passe et déterminer ensuite les règles de filtrage à mettre en place. Cette opération terminée, une analyse assez grossière nous permet d identifier les grandes règles de filtrage permettant à l application de s exécuter au maximum. En effet, cette première opération est assez importante puisque tout ce qui n est pas explicitement autorisé est interdit. Il convient ainsi d autoriser un maximum d éléments nécessaires au bon fonctionnement de l application. 72 HAKIN9 3/2010

6 Comment filtrer l'attaque Le problème de cette attaque réside dans la légitimité de l opération réalisée. Le seul élément qui n est pas normal est le lieu de réalisation du script. En effet, l opération de création de compte utilisateur ne peut être réalisée que depuis l URL «index2.php» Nous avons donc décidé de filtrer sur l en-tête HTTP, la variable «Referer» qui stipule l url de la page demandant à exécuter le script et d y mettre comme règle : «/joomla/ administrator/(.*)». Nous pouvons alors constater, qu effectivement, l attaque dans ces conditions n est plus possible. Dans cette règle, nous ne stipulons pas que la balise Referer est obligatoire, ce qui peut être considéré comme une vulnérabilité. Si cette balise est rendue obligatoire, l authentification à l application n est plus possible car dans certains cas, ce champ ne figure pas dans l en-tête HTTP. Néanmoins, nous partons du principe que l administrateur n a aucun intérêt à intercepter la communication pour changer cette balise. Toujours dans notre paranoïa permanente, nous nous sommes dit que la page permettant l attaque pouvait se trouver derrière un proxy qui modifierait cet en-tête à la volée afin de la rendre conforme à la règle de filtrage précédemment mise en place. C est pourquoi nous avons décidé d ajouter une règle plus contraignante pour l administrateur mais qui permettra de réduire au maximum ce risque. Un moyen complémentaire de filtrage La deuxième règle consiste à limiter l accès de l administrateur à son espace d administration et de lui interdire l accès aux pages du site. Cette règle consiste donc à interdire explicitement le cookie de session « d38c9c e2b9c0a260e» correspondant au profil d administration aux autres espaces (Location) du site. Le problème est que pour accéder au reste de l application, l administrateur n aura pas seulement besoin de se déloguer, il lui faudra aussi fermer son navigateur. En effet, au moment du logout de l application, le cookie est dévalidé dans la base de données mais ne l est pas au niveau du navigateur. Editeur de règles Le premier outil recommandé (Ouadjet) ne fonctionne que pour la branche 1 d Apache. Nous l avons essayé sur la branche 2 de mod_security mais sans succès. Nous avons donc cherché un outil pour la branche 2 de mod_security. Deux outils ont été trouvés. Le premier nous a paru assez austère dans son approche. Le second, REMO, nous a paru beaucoup plus intéressant dans son approche, car il aide l utilisateur à créer un maximum de règles de la manière la plus précise possible, permettant également une compréhension simplifiée de l en-tête HTTP. Pour être efficace dans la création de règles, il convient de bien comprendre le fonctionnement du protocole HTTP. La compréhension des en-têtes est un élément primordial. Voici en image les règles que nous avons générées avec REMO (cf. Figure 5). Et voici ce que cela donne en version mod_security (cf. Listing 2). Conclusion Nous avons vu que la liste blanche est un mécanisme très complexe à mettre en œuvre. La solution consisterait à créer des règles de filtrage par liste blanche pour chaque application web (soit par l éditeur, soit par une société qui ne s occuperait que de cela). Sans cela, la mise en place d une liste blanche est extrêmement difficile sauf à connaître parfaitement l application. La liste noire a donc encore de beaux jours devant elle tant que des listes blanches ne seront pas éditées pour chaque application. A moins qu un autre outil vraiment performant voit le jour. Ouadjet pour la branche 2 de mod_security est en développement. Ivan Ristic, le développeur de mod_security, est aussi en train de travailler sur un projet qui consisterait à générer des listes blanches automatiquement mais cela va prendre du temps. Patientons À propos de l'auteur L'auteur travaille en tant qu'ingénieur sécurité chez Dimension Data Luxembourg. Son métier consiste en la conception, la mise en œuvre et le support d'architectures de sécurité pour des clients grands comptes. Diplômé d'un Master ès Sécurité Informatique à l'epita à Paris, il se passionne pour les technologies de sécurité de l'information.

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................

Plus en détail

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY version 1.00 Objectifs Cette fiche pratique permet d atteindre deux objectifs distincts et potentiellement complémentaires. Configuration d Apache en

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity Aide à la Détection de Faiblesses d un site Web, S. Aicardi Journées Mathrice, Angers, 17-19 Mars 2009 Serveur mandataire (Proxy) C est un serveur utilisé comme intermédiaire entre des clients et des serveurs.

Plus en détail

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.

Plus en détail

Mise en place d un reverse proxy

Mise en place d un reverse proxy Mise en place d un reverse proxy Certaines adresses IP ont été effacées dans ce document pour des raisons évidentes de sécurité. 1 Table des matières Utilisation des noms DNS pour atteindre les applications

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

Transformer APACHE 2.0 en Proxy HTTP

Transformer APACHE 2.0 en Proxy HTTP Transformer APACHE 2.0 en Proxy HTTP Comment utiliser le Module Proxy d'apache Dans certaines configurations, il peut être utile pour des besoins de développement ou d'utilisation interne de configurer

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Applications orientées données (NSY135)

Applications orientées données (NSY135) Applications orientées données (NSY135) 2 Applications Web Dynamiques Auteurs: Raphaël Fournier-S niehotta et Philippe Rigaux (philippe.rigaux@cnam.fr,fournier@cnam.fr) Département d informatique Conservatoire

Plus en détail

PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE

PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE Antoine CAMBIEN BTS SIO Option SISR Session 2015 BTS SIO Services Informatiques aux Organisations Session 2014 2015 Nom du candidat : Antoine CAMBIEN Projet

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Apache en tant que reverse proxy

Apache en tant que reverse proxy Apache en tant que reverse proxy Fiche technique Radosław Pieczonka Degré de difficulté L'ajout d'un reverse proxy permet de bénéficier d'un cloisonement des flux réseaux et d'un pare-feu applicatif filtrant

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé Roman Mkrtchian SI5-2012/2013 François Chapuis Rapport de projet de WASP Réalisation d'un site web sécurisé Introduction Nous avons choisi de coder un blog sécurisé. Nous avons notamment codé nous-mêmes

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Méthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel.

Méthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel. Méthode de Test Pour WIKIROUTE Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel. [Tapez le nom de l'auteur] 10/06/2009 Sommaire I. Introduction...

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

Université Toulouse 1 Capitole

Université Toulouse 1 Capitole Evaluation d un reverse proxy en sécurité par défaut Université Toulouse 1 Capitole Mardi 1er Juillet 2014 RéSIST : Reverse proxy 1/29 Contexte Stage de deuxième année de DUT informatique Pendant 2 mois

Plus en détail

Les utilités d'un coupe-feu applicatif Web

Les utilités d'un coupe-feu applicatif Web Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal Canada #ASFWS Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

Plus en détail

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr 4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire

Plus en détail

Sécurisation de vos sites web avec Apache reverse proxy et mod_security

Sécurisation de vos sites web avec Apache reverse proxy et mod_security JI 2012, François Legrand, Sécurisation des sites web 1/27 Sécurisation de vos sites web avec Apache reverse proxy et mod_security François Legrand (LPNHE) JI 2012, François Legrand, Sécurisation des sites

Plus en détail

Installer le patch P-2746 et configurer le Firewall avancé

Installer le patch P-2746 et configurer le Firewall avancé Installer le patch P-2746 et configurer le Firewall avancé SOMMAIRE INTRODUCTION... 2 PRE-REQUIS... 2 MIGRATION DE DONNEES ET DE CONFIGURATION... 2 INSTALLATION... 2 PRINCIPALES EVOLUTIONS FONCTIONNELLES

Plus en détail

Installation et configuration de vcenter Mobile Access (vcma) - VMWARE

Installation et configuration de vcenter Mobile Access (vcma) - VMWARE Installation et configuration de vcenter Mobile Access (vcma) - VMWARE Ce logiciel permet la gestion d un serveur VMware (ESXi par exemple) depuis un smartphone ou une tablette. Cela permettant de se passer

Plus en détail

DOCUMENTATION MISE A JOUR ANTIBIOGARDE. V4.0 en v4.1

DOCUMENTATION MISE A JOUR ANTIBIOGARDE. V4.0 en v4.1 DOCUMENTATION MISE A JOUR ANTIBIOGARDE V4.0 en v4.1 Version d Antibiogarde 4.1 Version du document 1.0 Date dernière mise à jour du document 15/06/2010 Retrouvez cette doc à jour sur : http://www.antibiogarde.org/activation/

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Pare-feu applicatif i-suite Version 5.5.5 révision 21873

Pare-feu applicatif i-suite Version 5.5.5 révision 21873 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Pare-feu applicatif i-suite Version 5.5.5 révision 21873

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies

Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies Frédéric Majorczyk Ayda Saidane Éric Totel Ludovic Mé prénom.nom@supelec.fr Supélec, Rennes, France DADDi 18/11/2005 Frédéric

Plus en détail

Configurer une connexion RTC sous Mac OS X

Configurer une connexion RTC sous Mac OS X Configurer une connexion RTC sous Mac OS X La configuration à l Internet d une connexion RTC (Réseau Téléphonique Commuté), communément appelée liaison par modem, ou liaison bas débit est simple et rapide

Plus en détail

Visual Studio.NET et Visual SourceSafe - Part 3

Visual Studio.NET et Visual SourceSafe - Part 3 Visual Studio.NET et Visual SourceSafe - Part 3 VSS et VS.NET en développement collaboratif Dans cette partie, nous verrons comment mettre en place une base SourceSafe sur un serveur afin que plusieurs

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Accès au serveur SQL. Où ranger les accès au serveur SQL?

Accès au serveur SQL. Où ranger les accès au serveur SQL? 150 requête SQL, cela aura un impact sur un nombre limité de lignes et non plus sur l ensemble des données. MySQL propose une clause originale en SQL : LIMIT. Cette clause est disponible avec les différentes

Plus en détail

1 La visualisation des logs au CNES

1 La visualisation des logs au CNES 1 La visualisation des logs au CNES 1.1 Historique Depuis près de 2 ans maintenant, le CNES a mis en place une «cellule d analyse de logs». Son rôle est multiple : Cette cellule est chargée d analyser

Plus en détail

Module pour la solution e-commerce Opencart

Module pour la solution e-commerce Opencart Module pour la solution e-commerce Opencart sommaire 1. Introduction... 3 1.1. Objet du document... 3 1.2. Contenu du document... 3 1.3. Liste des documents de référence... 3 1.4. Avertissement... 3 1.5.

Plus en détail

Introduction JOOMLA. Fonctionnalités. Avantages. Hainaut P. 2013 - www.coursonline.be 1. Joomla est un système de gestion de contenu CMS open source

Introduction JOOMLA. Fonctionnalités. Avantages. Hainaut P. 2013 - www.coursonline.be 1. Joomla est un système de gestion de contenu CMS open source JOOMLA Introduction Joomla est un système de gestion de contenu CMS open source Il permet la conception rapide de sites Web avec une présentation soignée et une navigation très simple C est l outil idéal

Plus en détail

La réplication sous SQL Server 2005

La réplication sous SQL Server 2005 La réplication sous SQL Server 2005 Mettre en place la réplication sur SQL Server 2005 La réplication des bases de données est une problématique classique dans les systèmes d'information. En effet, dans

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Changements et améliorations du serveur web Apache version 2.2

Changements et améliorations du serveur web Apache version 2.2 Changements et améliorations du serveur web Apache version 2.2 Introduction Apache HTTPd 2.2 constitue la dernière version du logiciel phare de la fondation Apache (Apache Software Foundation) ; c est

Plus en détail

Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7

Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7 Jean-Marie Culot guide de référence Apache 2 Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7 Table des matières Introduction................................................................ 7 L'objectif.................................................................

Plus en détail

Microsoft TechNet - Les End Points ou points de terminaison

Microsoft TechNet - Les End Points ou points de terminaison Page 1 sur 5 Plan du site Accueil International Rechercher sur Microsoft France : Ok Accueil TechNet Produits & Technologies Solutions IT Sécurité Interoperabilité Déploiement des postes de travail Scripting

Plus en détail

Live box et Nas Synology

Live box et Nas Synology Live box et Nas Synology Création : OpenOffice.org Version 2.3 Auteur : PHI Création : 18/01/2008: Version : 32 Modification : 24/03/2008 Fichier : E:\Mes documents\tuto NAS LB\tuto ftp.odt Imprimer moi

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Sécurité PHP. FaillesUpload

Sécurité PHP. FaillesUpload Sécurité PHP FaillesUpload Table des matières Introduction...... 3 L upload de fichiers......... 3 Protections coté client...... 4 Protections coté serveur... 5 1. Vérification du type de contenu......

Plus en détail

Archit Arc hit c e t c ure ure Ré Ré e s a e u

Archit Arc hit c e t c ure ure Ré Ré e s a e u Architectures Réseau Architecture d'un réseau Vous avez travaillé avec l'infrastructure du cours depuis quelque jours, et êtes un peu plus comfortables avec celle-ci Vous avez probablement la responsabilité

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

Faille PayPal sous Magento ou comment faire ses achats (presque) gratuitement

Faille PayPal sous Magento ou comment faire ses achats (presque) gratuitement NBS System : Advisory sur la faille Magento / PayPal Le 19/04/2012 par Antonin le Faucheux Versions affectées : EE pré 1.10.1 et CE pré 1.5, site proposants PayPal Faille PayPal sous Magento ou comment

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

Base de connaissances

Base de connaissances Base de connaissances 1/11 Sommaire Sommaire... 2 Principe de fonctionnement... 3 Configurer Serv-U avec un routeur/pare-feu... 4 Le client FTP ne voit pas les listes de répertoires ou n arrive pas à se

Plus en détail

3.3. Installation de Cacti

3.3. Installation de Cacti Cacti comme beaucoup de programmes sous linux cacti s appuis sur d autres programmes pour fonctionner ainsi Cacti nécessite l installation d un serveur LAMP (Linux, Apache, Mysql, Php) pour fonctionner,

Plus en détail

ApExposé. Cédric MYLLE 05 Février 2008. Exposé Système et Réseaux : ApEx, Application Express d Oracle

<Insert Picture Here>ApExposé. Cédric MYLLE 05 Février 2008. Exposé Système et Réseaux : ApEx, Application Express d Oracle ApExposé Cédric MYLLE 05 Février 2008 Exposé Système et Réseaux : ApEx, Application Express d Oracle Sommaire Introduction Les besoins L outil ApEx Le développement d applications

Plus en détail

Manuel de référence de KoXo Administrator V3.2

Manuel de référence de KoXo Administrator V3.2 33 Utilisation d Internet Information Server (IIS) Depuis la version 2.9.0.0 de KoXo Administrator, les versions antérieures à IIS7 ne sont plus supportées (Windows 2008 a apporté de nombreuses amélioration

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Installer Joomla en local sur un mac à lʼaide de MAMP

Installer Joomla en local sur un mac à lʼaide de MAMP Installer Joomla en local sur un mac à lʼaide de MAMP Ce Tutorial va vous permettre dʼinstaller Joomla 1.5 en local sur un Mac à grâce à MAMP (Macintosh Apache Mysql Php). 1. Récupérer MAMP La première

Plus en détail

Sécurité d un site php

Sécurité d un site php Sensibilisation IUT de Fontainebleau 8 juin 2015 1 2 1 2 Enjeux L application manipulent-ils des données fiables? L application interagit-elle avec le bon interlocuteur? Le secret des données échangées

Plus en détail

Sauvegarde des bases SQL Express

Sauvegarde des bases SQL Express Sauvegarde des bases SQL Express Sauvegarder les bases de données avec SQL Express Dans les différents articles concernant SQL Server 2005 Express Edition, une problématique revient régulièrement : Comment

Plus en détail

Groupe Eyrolles, 2003, ISBN : 2-212-11317-X

Groupe Eyrolles, 2003, ISBN : 2-212-11317-X Groupe Eyrolles, 2003, ISBN : 2-212-11317-X 3 Création de pages dynamiques courantes Dans le chapitre précédent, nous avons installé et configuré tous les éléments indispensables à la mise en œuvre d une

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

Le langage PHP permet donc de construire des sites web dynamiques, contrairement au langage HTML, qui donnera toujours la même page web.

Le langage PHP permet donc de construire des sites web dynamiques, contrairement au langage HTML, qui donnera toujours la même page web. Document 1 : client et serveur Les ordinateurs sur lesquels sont stockés les sites web sont appelés des serveurs. Ce sont des machines qui sont dédiées à cet effet : elles sont souvent sans écran et sans

Plus en détail

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling Gabriel Corvalan Cornejo Gaëtan Podevijn François Santy 13 décembre 2010 1 Modélisation et récolte d information du système 1.1 Information

Plus en détail

Serveur Web Apache2. un beau message va s'afficher dans votre navigateur it work, c'est le contenu du fichier /var/www/index.html

Serveur Web Apache2. un beau message va s'afficher dans votre navigateur it work, c'est le contenu du fichier /var/www/index.html Wilson Leclercq Serveur Web Apache2 BTS SIO - E6 La Mise en Place du Serveur Apache 1 Présentation Apache est le plus populaire des serveurs HTTP ('HyperText Transfer Protocole') Libre, c'est un Protocole

Plus en détail

Apps Sage : les 10 étapes pour publier vos données dans le Cloud.

Apps Sage : les 10 étapes pour publier vos données dans le Cloud. Apps Sage : les 10 étapes pour publier vos données dans le Cloud. Produits concernés : Sage Customer View et Sage Reports Contexte Depuis Sage Data Manager, vous venez d installer Sage Business Sync (cf

Plus en détail

Authentification CAS : module apache V2 mod_cas

Authentification CAS : module apache V2 mod_cas Page 1 of 8 Authentification CAS : module apache V2 mod_cas Ce document décrit l'installation et le paramétrage du module mod_cas esup-portail pour apache V2. Vincent Mathieu Université Nancy 2 Dates de

Plus en détail

Sécuriser les applications web de l entreprise

Sécuriser les applications web de l entreprise LABORATOIRE SECURITE Sécuriser les applications web de l entreprise Mise en place de ModSecurity pour Apache Julien SIMON - 61131 Sommaire Présentation de la situation actuelle...3 Qu est ce qu un WAF?...5

Plus en détail

Kit d'intégration FAS+

Kit d'intégration FAS+ Guide d'intégration de l'application IAM - Annexe Kit d'intégration FAS+ Date 24/08/2012 Version 3.0 TABLE DES MATIÈRES 1 Introduction...3 2 Kit d'intégration FAS+...3 2.1 Pages JSP...4 2.2 Classes Java...7

Plus en détail

Configuration du routeur. Installer le service de certificats

Configuration du routeur. Installer le service de certificats Page 1 sur 21 Avec les paramètres par défaut, Outlook Web Access transmet tout le traffic en clair (y compris les noms d'utilisateur et les mots de passe) entre le serveur et le client. C'est pourquoi

Plus en détail

Mise en place d un firewall d entreprise avec PfSense

Mise en place d un firewall d entreprise avec PfSense Mise en place d un firewall d entreprise avec PfSense JA-PSI Programmation & Sécurité informatique http://www.ja-psi.fr Par Régis Senet http://www.regis-senet.fr regis.senet [at] supinfo.com Le 13/06/2009

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

07/03/2014 SECURISATION DMZ

07/03/2014 SECURISATION DMZ 07/03/2014 SECURISATION DMZ Anthony MANDRON SDIS 21 Table des matières Introduction :... 2 Contexte :... 2 Les solutions possibles :... 2 Le proxy inverse :... 2 Démonstration de la nouvelle solution :...

Plus en détail

Installation de SharePoint Foundation 2013 sur Windows 2012

Installation de SharePoint Foundation 2013 sur Windows 2012 Installation de SharePoint Foundation 2013 sur Windows 2012 SharePoint 2013 est maintenant disponible et peut de ce fait être installé sur des environnements de production. De plus Windows 2012 est devenu

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/05 ModSecurity v2.5.12

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

INSTALLATION ET CONFIGURATION D'UN SERVEUR WEB SUR MAC OS X

INSTALLATION ET CONFIGURATION D'UN SERVEUR WEB SUR MAC OS X INSTALLATION ET CONFIGURATION D'UN SERVEUR WEB SUR MAC OS X Par Sébastien Maisse MAC OS incorpore en son sein un serveur web apache, pour le lancer, il faut se rendre dans le Menu Pomme / Préférence Système...

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Manuel d intégration du service AByster

Manuel d intégration du service AByster Manuel d intégration du service AByster PHP API Version 1.0 11 février 2013 www.abyster.com 1 Table des matières 01. Objet... 3 02. Définitions... 3 03. Introduction... 4 04. Le Core... 5 04.1 Organisation

Plus en détail

Compte rendu de PHP MySQL : création d un formulaire de base de données

Compte rendu de PHP MySQL : création d un formulaire de base de données REVILLION Joris Décembre 2009 3EI Compte rendu de PHP MySQL : création d un formulaire de base de données Objectifs : Le principal objectif de ce cours est de découvrir et de nous familiariser avec le

Plus en détail

Troisième concours d ingénieur des systèmes d information et de communication. «Session 2010»

Troisième concours d ingénieur des systèmes d information et de communication. «Session 2010» Troisième concours d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "Etude de cas" Sujet : Architecture et Systèmes Note obtenue : 15,75/20 La société «Mission

Plus en détail

Installation du proxy squid + squidguard grâce à pfsense

Installation du proxy squid + squidguard grâce à pfsense Installation du proxy squid + squidguard grâce à pfsense Après avoir récupéré votre matériel l installation peut commencer. A noter qu il est impossible d'installer Pfsense sur un disque contenant une

Plus en détail

Pratique et administration des systèmes

Pratique et administration des systèmes Université Louis Pasteur Licence Informatique (L2) UFR de Mathématiques et Informatique Année 2007/2008 1 But du TP Pratique et administration des systèmes TP10 : Technologie LAMP Le but de ce TP est de

Plus en détail

EXAMEN DE SERVICES RESEAUX HEBERGEMENT MUTUALISE SECURISE

EXAMEN DE SERVICES RESEAUX HEBERGEMENT MUTUALISE SECURISE EXAMEN DE SERVICES RESEAUX HEBERGEMENT MUTUALISE SECURISE Serveur DHCP Serveur DNS Serveur Web Apache Module SSL Travail réalisé par : Professeur chargé : Gloria YAKETE Mr Massamba LO Master 2 Réseaux

Plus en détail

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10 Dossier Technique Page 1/10 Sommaire : 1. REPONSE TECHNIQUE A LA DEMANDE 3 1.1. Prise en compte de la dernière version de phpcas 3 1.2. Gestion de la connexion à GRR 3 1.2.1. Récupération des attributs

Plus en détail

Table des matières L INTEGRATION DE SAS AVEC JMP. Les échanges de données entre SAS et JMP, en mode déconnecté. Dans JMP

Table des matières L INTEGRATION DE SAS AVEC JMP. Les échanges de données entre SAS et JMP, en mode déconnecté. Dans JMP L INTEGRATION DE SAS AVEC JMP Quelles sont les techniques possibles pour intégrer SAS avec JMP? Comment échanger des données entre SAS et JMP? Comment connecter JMP à SAS? Quels sont les apports d une

Plus en détail