Sécuriser les applications web

Dimension: px
Commencer à balayer dès la page:

Download "Sécuriser les applications web"

Transcription

1 SÉCURITÉ RÉSEAUX TONY FACHAUX Degré de difficulté Sécuriser les applications web L'article présente d'une manière générale les moyens techniques à mettre en œuvre pour sécuriser les applications web d'une entreprise. Cette sécurisation passe par la mise en place d'un WAF (Web Application Firewall). Dans cet article, nous utiliserons le mod_security d'apache pour expliquer la mise en œuvre de ce type de protection. Aujourd'hui, les attaques sont de moins en moins réalisées sur les serveurs ou sur les réseaux car ils sont de mieux en mieux protégés. La majeure partie des vulnérabilités se trouvent dans les applications et les applications Web sont aujourd hui extrêmement répandues. C est pour cela que des équipements, appelés WAF (Web Application Firewall ou Firewall applicatif en français), font leur apparition et sont maintenant un maillon indispensable dans la sécurité d une architecture. Pour répondre à ce besoin, il existe une multitude d appliances sur le marché telles Flux HTTP/HTTPS CET ARTICLE EXPLIQUE... Ce qu'est un WAF (Web Application Firewall). Comment filtrer les attaques Web. CE QU'IL FAUT SAVOIR... Quelques notions sur le protocole HTTP. DMZ Web Flux HTTP Serveur Web Figure 1. Architecture Web sécurisée par un WAF DMZ Publique WAF (Web AQpplication Firewall) 68 HAKIN9 3/2010

2 SÉCURISER LES APPLICATIONS WEB Deny All, F5 ou encore Barracuda. Mais nous parlerons ici de mod_security2 qui est un module de filtrage applicatif pouvant être couplé avec un Apache configuré en reverse proxy. Tout ceci est plus communément appelé un reverse proxy filtrant. Qu'est ce qu'un reverse proxy Il convient ici de définir ce qu est un reverse proxy. Comme son nom l indique, un reverse proxy est le contraire d un proxy! Le reverse proxy se place en frontal derrière le firewall. Derrière lui, se cache un ou plusieurs serveur web. Le reverse proxy peut faire de la répartition de charge et/ou du filtrage ce que nous allons voir ici en pratique. Le filtrage se réalise de deux manières : soit par liste blanche, soit par liste noire. La liste blanche est la plus sûre mais la plus difficile à configurer. Son but consiste à tout bloquer et à n autoriser que le trafic sûr (typiquement le fonctionnement d un pare-feu réseau). Une tâche difficile pour des applications qui génèrent beaucoup de données aléatoires. La quasi-impossibilité de connaître tout le bon trafic est un autre élément de difficulté. Une liste blanche mal générée risque d'altérer le fonctionnement de l application. Dans certains cas, nous sommes donc obligés d'opter pour la liste noire qui consiste à bloquer tout le mauvais trafic. Mais qui peut prétendre connaître tout le mauvais trafic de l Internet? Personne! C est donc pour cette raison que la liste blanche est plus sûre bien que pas toujours évidente à implémenter. L'architecture La figure 1 représente un schéma basique d'une architecture web protégée par un WAF. Les clients sur Internet interrogent le reverse proxy en HTTP ou en HTTPS selon l'application. Le reverse proxy filtrant analyse les requêtes web, les autorise ou non et redirige les requêtes en HTTP au serveur web correspondant. Le reverse proxy est généralement placé dans une DMZ publique car elle est joignable depuis l'extérieur et les serveurs web sont, quant La configuration du reverse proxy La configuration du reverse proxy est contenue dans le fichier httpd.conf de notre Apache situé en frontal derrière le firewall. Il faut d abord vérifier que les modules sont correctement chargés : LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_connect_module modules/mod_proxy_connect.so Ensuite, il faut réaliser la configuration du reverse proxy : ProxyRequests Off ServerName IP_de_la_web_application ProxyPass / ProxyPassReverse / Nous avons réalisé une configuration basique du reverse proxy. Il est aussi évident ici que dans un cas réel, nous configurerions une authentification mais ce n est pas le but de cet article. La documentation officielle de mod_proxy est très bien faite à ce sujet. Figure 2. Trace générée par mod_security2 Figure 3. Fichier de configuration de mod_security2 Figure 4. News déposée sur Joomla 3/2010 HAKIN9 69

3 SÉCURITÉ RÉSEAUX à eux, placés dans une DMZ spécifique. L application web que nous utiliserons en appui du présent article sera un Joomla STABLE. Cette application n est volontairement pas la dernière version afin de tester aisément l exploitation de failles dans l application. Expliquons rapidement le principe de fonctionnement. Un utilisateur sur Internet désirant se connecter sur Joomla entre dans son navigateur Internet l adresse du reverse proxy (rappelez-vous qu il est placé en frontal). Son navigateur affichera alors Joomla. L utilisateur se connecte en Listing 1. Un exemple d'attaque CSRF Je vais gagner <script type="text/javascript"> window.onload = function() { var url = "http://ip_joomla/joomla/administrator/index2.php"; var gid = 25; var user = 'mechant'; var pass = 'mechant'; var = var param = { name: user, username: user, , password: pass, password2: pass, gid: gid, block: 0, option: 'com_users', task: 'save', send 1 }; var form = document.createelement('form'); form.action = url; form.method = 'post'; form.target = 'hidden'; form.style.display = 'none'; HTTP ou en HTTPS, le reverse proxy se chargera ensuite de relayer les requêtes vers Joomla en HTTP. Configuration de l'architecture L'architecture se compose des éléments suivants : Un serveur web hébergeant l'application web Joomla Un reverse proxy filtrant Nous ne détaillerons pas complètement l'installation de ces serveurs mais for (var i in param) { try { // ie var input = document.createelement('<input name="'+i+'">'); } catch(e) { // other browsers partons du principe qu'il dispose de la configuration suivante : un OS FreeBSD avec Apache 2.2, PHP5 et MySQL. Le reverse proxy dispose du mod_proxy d'apache pour fonctionner en reverse proxy et le serveur web hébergera l'application Joomla. Le mod_security Mod_security est un module d Apache permettant de transformer un Apache configuré en reverse proxy en firewall applicatif. Il faut savoir que mod_security dispose d une communauté très active et commence à être de plus en répandu. La grande force de mod_security est de pouvoir filtrer à 5 niveaux : En-têtes de requêtes Corps des requêtes En-têtes de réponses Corps des réponses Journalisation Cela fait de mod_security un outil de filtrage très puissant pour les applications web. Installation L'installation de mod_security sous FreeBSD se fait simplement: cd /usr/ports/www/mod_security2 && make install clean Passons maintenant à la préparation de la configuration Comme pour le reverse proxy, nous devons vérifier que les modules sont correctement chargés dans Apache. Le module mod_unique permet à mod_security d identifier de manière unique chaque requête reçue : } } var input = document.createelement('input'); input.name = i; input.setattribute('value', param[i]); form.appendchild(input); LoadModule unique_id_module libexec/ apache22/mod_ unique_id.so Chargement du module mod_security2 : document.body.appendchild(form); form.submit(); } </script> <iframe name="hidden" style="display: none"></iframe> LoadModule security2_module libexec/ apache22/mod_ security2.so Configuration de mod_security2 : 70 HAKIN9 3/2010

4 SÉCURISER LES APPLICATIONS WEB Include etc/apache22/includes/*.conf Tous les fichiers de configuration de mod_security se trouvent dans /usr/ local/etc/apache22/includes/mod _ security2 (cf. Figure 2). Le fichier de configuration principal est modsecurity_crs_10_config.conf. Les autres fichiers représentent les règles ModSecurity Core Rules qui fonctionnent en liste noire et qui représentent une protection de base intéressante contre une quantité d attaques connues. Paramétrage de mod_ security2 Voici le détail du paramétrage du fichier de configuration principal de mod_security : SecRuleEngine On : Activation du module mod_security. Ce module intercepte les requêtes et les bloque ou laisse passer selon la configuration. Cette option peut être bloquée ou simplement active sans blocage (active à des fins de logs). SecRequestBodyAccess On : les règles qui inspectent le corps des requêtes sont actives. SecResponseBodyAccess On : les règles qui inspectent le corps des réponses sont actives. SecDefaultAction : Détermine l action par défaut lorsqu aucune règle ne s applique. Plusieurs options peuvent y être spécifiées comme log pour loguer, deny pour arrêter l application, etc. Une grande particularité de mod_security est qu il log beaucoup plus d informations qu Apache. Pour cela, il faut configurer les paramètres suivants : SecAuditEngine RelevantOnly : seuls les échanges ayant été détectés sont enregistrés SecAuditLog : spécifie le chemin vers le journal Voici un exemple de traces que génère mod_security dans notre situation (cf. Figure 3). A ce stade, nous avons un mod_ security2 fonctionnel avec les ModSecurity Core rules. Notre application web est donc correctement protégée en liste noire à condition, bien sûr, de mettre à jour régulièrement les Core rules. Le but étant de faire de la liste blanche, nous verrons par la suite comment orienter la configuration vers ce mode de fonctionnement. Paramétrage personnalisé Avant tout, il convient d expliquer comment personnaliser la configuration de mod_ security manuellement. Pour cela, il faut ajouter un fichier.conf au répertoire de mod_security. Ce fichier.conf sera pris en compte puisque nous lui avons indiqué : Include etc/apache22/include/*.conf Afin d éditer des règles, il faut utiliser la directive SecRule avec cette syntaxe : SecRule Variables Opérateur [Actions] Pour avoir la documentation complète des paramètres utilisables, rendez-vous Figure 5. Editeur de règles REMO sur le site officiel de mod_security. Une multitude de règles peuvent être écrites. Vous trouverez plus loin dans cet article les règles que nous avons éditées pour bloquer notre attaque. En voici quelques-unes : Bloquer l accès au répertoire joomla dans une url : SecFilter /joomla/ Interdire la méthode TRACE : SecFilterSelective REQUEST_METHOD «TRACE» Vous trouverez plusieurs exemples de règles dans l article d HSC qui se trouve 3/2010 HAKIN9 71

5 SÉCURITÉ RÉSEAUX dans la partie références de cet article. Vous y trouverez des règles permettant de bloquer des SQL injection ainsi que des failles XSS. Pour mettre en place du filtrage par liste noire, ces règles sont intéressantes. Sur Internet Un tutorial pour débuter avec REMO. Le site officiel de mod_security. Le site de ouadjet. Un article d'hsc traitant de mod_ security. Un article d'hsc traitant d'apache en relais inverse. La documentation officielle de mod_proxy. Listing 2. Règles mod_security # Location au niveau du site joomla <LocationMatch "^/joomla/administrator/index2.php(.*)$"> # Traitement de la balise "Referer" SecRule REQUEST_HEADERS:Referer "!^(http:// /joomla/administrator/(.*))$" "t:none,deny,id:3,status:501,severity:3,msg:'header Referer failed # Aucune vérification sur le "Cookie" SecRule REQUEST_HEADERS:Cookie "!^(.*)$" "t:none,deny,id:3,status:501,severity:3,msg:'header Cookie failed validity check. Value domain: Custom.'" # All checks passed for this path. Request is allowed. SecAction "allow,id:4,t:none,msg:'request passed all checks, it is thus allowed.'" </LocationMatch> <LocationMatch "^/joomla/administrator/(.*)$"> # traitement de la balise "Referer" en prenant en compte cette fois la possibilité de venir du fichier index.php SecRule REQUEST_HEADERS:Referer "!^((http:// /joomla/administrator/(.*)) (http:// /j oomla/index.php(.*)))$" "t:none,deny,id:3,status:501,severity:3,msg:'header Referer failed validity check. Value domain: Custom.'" # Aucune vérification sur le "Cookie" SecRule REQUEST_HEADERS:Cookie "!^(.*)$" "t:none,deny,id:3,status:501,severity:3,msg:'header Cookie failed validity check. Value domain: Custom.'" </LocationMatch> <LocationMatch "^/joomla/(.*)$"> # aucun traitement de la balise "Referer" SecRule REQUEST_HEADERS:Referer "!^(.*)$" "t:none,deny,id:1,status:501,severity:3,msg:'header Referer failed validity check. Value domain: Custom.'" # Vérifie que le "Cookie" n'existe pas SecRule REQUEST_HEADERS:Cookie "( d38c9c e2b9c0a260e=)(.*)$" "t:none,deny,id:1,status:501,severity:3,msg:'header Cookie failed validity check. </LocationMatch> # Bloque tout <LocationMatch "^/.*$"> SecAction "deny,status:501,severity:3,msg:'unknown request. Access denied by fallback rule.'" </LocationMatch> Démonstration d'une attaque sur Joomla Nous avons réalisé une attaque sur notre installation de Joomla pour ensuite tester son blocage avec mod_security2. Explication de l'attaque : 1/ Création d'un utilisateur classique dans Joomla. 2/ Cet utilisateur dépose ensuite une news dans Joomla avec un lien contenant cette attaque (Figure 4). Le lien cliquez ici contient du code malveillant que voici (cf Listing 1). Et lorsqu un administrateur ira sur cette news et cliquera sur le lien, un nouveau compte root mechant/mechant se créera dans la base de données utilisateurs de joomla. Le filtrage par liste blanche L objectif de la liste blanche est d interdire ce qui n est pas explicitement autorisé. Cela peut être assez facile pour une application dont les processus sont entièrement maitrisés. Cela devient beaucoup plus compliqué pour une application non maîtrisée et relativement lourde en fonctionnalités. Au vu de la tâche que cela implique, dans le cadre de notre étude, nous ne tenterons pas de protéger l ensemble de l application mais seulement quelques parties du système et, notamment, le protéger contre l attaque proposée dans la partie précédente. Nous allons dans un premier temps ne mettre aucune règle de filtrage et mettre le reverse proxy en mode apprentissage afin de loguer au maximum ce qui se passe et déterminer ensuite les règles de filtrage à mettre en place. Cette opération terminée, une analyse assez grossière nous permet d identifier les grandes règles de filtrage permettant à l application de s exécuter au maximum. En effet, cette première opération est assez importante puisque tout ce qui n est pas explicitement autorisé est interdit. Il convient ainsi d autoriser un maximum d éléments nécessaires au bon fonctionnement de l application. 72 HAKIN9 3/2010

6 Comment filtrer l'attaque Le problème de cette attaque réside dans la légitimité de l opération réalisée. Le seul élément qui n est pas normal est le lieu de réalisation du script. En effet, l opération de création de compte utilisateur ne peut être réalisée que depuis l URL «index2.php» Nous avons donc décidé de filtrer sur l en-tête HTTP, la variable «Referer» qui stipule l url de la page demandant à exécuter le script et d y mettre comme règle : «/joomla/ administrator/(.*)». Nous pouvons alors constater, qu effectivement, l attaque dans ces conditions n est plus possible. Dans cette règle, nous ne stipulons pas que la balise Referer est obligatoire, ce qui peut être considéré comme une vulnérabilité. Si cette balise est rendue obligatoire, l authentification à l application n est plus possible car dans certains cas, ce champ ne figure pas dans l en-tête HTTP. Néanmoins, nous partons du principe que l administrateur n a aucun intérêt à intercepter la communication pour changer cette balise. Toujours dans notre paranoïa permanente, nous nous sommes dit que la page permettant l attaque pouvait se trouver derrière un proxy qui modifierait cet en-tête à la volée afin de la rendre conforme à la règle de filtrage précédemment mise en place. C est pourquoi nous avons décidé d ajouter une règle plus contraignante pour l administrateur mais qui permettra de réduire au maximum ce risque. Un moyen complémentaire de filtrage La deuxième règle consiste à limiter l accès de l administrateur à son espace d administration et de lui interdire l accès aux pages du site. Cette règle consiste donc à interdire explicitement le cookie de session « d38c9c e2b9c0a260e» correspondant au profil d administration aux autres espaces (Location) du site. Le problème est que pour accéder au reste de l application, l administrateur n aura pas seulement besoin de se déloguer, il lui faudra aussi fermer son navigateur. En effet, au moment du logout de l application, le cookie est dévalidé dans la base de données mais ne l est pas au niveau du navigateur. Editeur de règles Le premier outil recommandé (Ouadjet) ne fonctionne que pour la branche 1 d Apache. Nous l avons essayé sur la branche 2 de mod_security mais sans succès. Nous avons donc cherché un outil pour la branche 2 de mod_security. Deux outils ont été trouvés. Le premier nous a paru assez austère dans son approche. Le second, REMO, nous a paru beaucoup plus intéressant dans son approche, car il aide l utilisateur à créer un maximum de règles de la manière la plus précise possible, permettant également une compréhension simplifiée de l en-tête HTTP. Pour être efficace dans la création de règles, il convient de bien comprendre le fonctionnement du protocole HTTP. La compréhension des en-têtes est un élément primordial. Voici en image les règles que nous avons générées avec REMO (cf. Figure 5). Et voici ce que cela donne en version mod_security (cf. Listing 2). Conclusion Nous avons vu que la liste blanche est un mécanisme très complexe à mettre en œuvre. La solution consisterait à créer des règles de filtrage par liste blanche pour chaque application web (soit par l éditeur, soit par une société qui ne s occuperait que de cela). Sans cela, la mise en place d une liste blanche est extrêmement difficile sauf à connaître parfaitement l application. La liste noire a donc encore de beaux jours devant elle tant que des listes blanches ne seront pas éditées pour chaque application. A moins qu un autre outil vraiment performant voit le jour. Ouadjet pour la branche 2 de mod_security est en développement. Ivan Ristic, le développeur de mod_security, est aussi en train de travailler sur un projet qui consisterait à générer des listes blanches automatiquement mais cela va prendre du temps. Patientons À propos de l'auteur L'auteur travaille en tant qu'ingénieur sécurité chez Dimension Data Luxembourg. Son métier consiste en la conception, la mise en œuvre et le support d'architectures de sécurité pour des clients grands comptes. Diplômé d'un Master ès Sécurité Informatique à l'epita à Paris, il se passionne pour les technologies de sécurité de l'information.

Apache en tant que reverse proxy

Apache en tant que reverse proxy Apache en tant que reverse proxy Fiche technique Radosław Pieczonka Degré de difficulté L'ajout d'un reverse proxy permet de bénéficier d'un cloisonement des flux réseaux et d'un pare-feu applicatif filtrant

Plus en détail

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity Aide à la Détection de Faiblesses d un site Web, S. Aicardi Journées Mathrice, Angers, 17-19 Mars 2009 Serveur mandataire (Proxy) C est un serveur utilisé comme intermédiaire entre des clients et des serveurs.

Plus en détail

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................

Plus en détail

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY version 1.00 Objectifs Cette fiche pratique permet d atteindre deux objectifs distincts et potentiellement complémentaires. Configuration d Apache en

Plus en détail

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE

PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE Antoine CAMBIEN BTS SIO Option SISR Session 2015 BTS SIO Services Informatiques aux Organisations Session 2014 2015 Nom du candidat : Antoine CAMBIEN Projet

Plus en détail

Transformer APACHE 2.0 en Proxy HTTP

Transformer APACHE 2.0 en Proxy HTTP Transformer APACHE 2.0 en Proxy HTTP Comment utiliser le Module Proxy d'apache Dans certaines configurations, il peut être utile pour des besoins de développement ou d'utilisation interne de configurer

Plus en détail

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé Roman Mkrtchian SI5-2012/2013 François Chapuis Rapport de projet de WASP Réalisation d'un site web sécurisé Introduction Nous avons choisi de coder un blog sécurisé. Nous avons notamment codé nous-mêmes

Plus en détail

Mise en place d un reverse proxy

Mise en place d un reverse proxy Mise en place d un reverse proxy Certaines adresses IP ont été effacées dans ce document pour des raisons évidentes de sécurité. 1 Table des matières Utilisation des noms DNS pour atteindre les applications

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Sécuriser les applications web de l entreprise

Sécuriser les applications web de l entreprise LABORATOIRE SECURITE Sécuriser les applications web de l entreprise Mise en place de ModSecurity pour Apache Julien SIMON - 61131 Sommaire Présentation de la situation actuelle...3 Qu est ce qu un WAF?...5

Plus en détail

T. HSU Sécurité des programmes PHP

T. HSU Sécurité des programmes PHP Sécurité des programmes PHP T. HSU IUT de LENS, Département informatique November 13, 2012 Part I Introduction à PHP Fonctionnement 1 : Requète PHP 2 : Aller chercher la page MySQL Page PHP Moteur PHP

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery (CSRF) TIW4-TP1 CSRF 1 Cross-Site Request Forgery (CSRF) Copyright c 2006-2010 Wenliang Du, Syracuse University. The development of this document is funded by the National Science Foundation s Course, Curriculum,

Plus en détail

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/05 ModSecurity v2.5.12

Plus en détail

Le «pare-feu» applicatif Introduction Pré-requis - configuration Pré-requis - installation

Le «pare-feu» applicatif Introduction Pré-requis - configuration Pré-requis - installation Le «pare-feu» applicatif Introduction Pré-requis - configuration Pré-requis - installation ADF, Montpellier septembre 2008 Attaques : ««visant des applications web et en particulier PHP fondées sur possibilité

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

Travaux Pratiques. Configuration du filtrage par un routeur et un proxy logiciel (mod_security)

Travaux Pratiques. Configuration du filtrage par un routeur et un proxy logiciel (mod_security) Travaux Pratiques Configuration du filtrage par un routeur et un proxy logiciel (mod_security) Le but de cette manipulation est de réaliser un contrôle d'accès conforme à la politique de sécurité d'une

Plus en détail

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau Cible de Sécurité rweb4 Certification Sécurité de Premier Niveau Version 1.3 26 Février 2013 Table des Matières 1. Identification... 3 1.1 Identification de la cible de sécurité... 3 1.2 Identification

Plus en détail

Changements et améliorations du serveur web Apache version 2.2

Changements et améliorations du serveur web Apache version 2.2 Changements et améliorations du serveur web Apache version 2.2 Introduction Apache HTTPd 2.2 constitue la dernière version du logiciel phare de la fondation Apache (Apache Software Foundation) ; c est

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts! Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez

Plus en détail

Authentification CAS : module apache V2 mod_cas

Authentification CAS : module apache V2 mod_cas Page 1 of 8 Authentification CAS : module apache V2 mod_cas Ce document décrit l'installation et le paramétrage du module mod_cas esup-portail pour apache V2. Vincent Mathieu Université Nancy 2 Dates de

Plus en détail

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr 4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire

Plus en détail

Les utilités d'un coupe-feu applicatif Web

Les utilités d'un coupe-feu applicatif Web Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal Canada #ASFWS Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007 2008 Proxy Qu'est ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application

Plus en détail

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs)

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs) Configuration d un Firewall IPCOP 1. Présentation : IPCOP est une distribution linux (Open Source), basée sur Linux From Scratch, destinée à assurer la sécurité d un réseau. C est un système d exploitation

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

1. La plate-forme LAMP

1. La plate-forme LAMP Servi ces pour intranet et Internet Ubuntu Linux - Création et gestion d un réseau local d entreprise 1. La plate-forme LAMP Services pour intranet et Internet La fourniture d'un site pour le réseau ou

Plus en détail

Architecture de filtrage

Architecture de filtrage 1 Architecture de filtrage Sécurisation du client Http Réalisé en 2009, par : Arnaud Aucher Tarik Bourrouhou Najat Esseghir 2 Vulnérabilités ActiveX Control Http Tunneling 3 ActiveX Control Partie 1 Fonctionnement

Plus en détail

Université Toulouse 1 Capitole

Université Toulouse 1 Capitole Evaluation d un reverse proxy en sécurité par défaut Université Toulouse 1 Capitole Mardi 1er Juillet 2014 RéSIST : Reverse proxy 1/29 Contexte Stage de deuxième année de DUT informatique Pendant 2 mois

Plus en détail

Tous les autres noms de produits ou appellations sont des marques déposées ou des noms commerciaux appartenant à leurs propriétaires respectifs.

Tous les autres noms de produits ou appellations sont des marques déposées ou des noms commerciaux appartenant à leurs propriétaires respectifs. Apache, Mod_proxy et 4D Par Timothy PENNER, Technical Services Team Member, 4D Inc. Note technique 4D-201003-05-FR Version 1 - Date 1 mars 2010 Résumé Cette note technique porte sur l utilisation du serveur

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

Applications orientées données (NSY135)

Applications orientées données (NSY135) Applications orientées données (NSY135) 2 Applications Web Dynamiques Auteurs: Raphaël Fournier-S niehotta et Philippe Rigaux (philippe.rigaux@cnam.fr,fournier@cnam.fr) Département d informatique Conservatoire

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

Guide d'installation pour Plug-in : PHP et Perl

Guide d'installation pour Plug-in : PHP et Perl Guide d'installation pour Plug-in : PHP et Perl Version AE280507-APIv6 Guide d'installation pour Plug-in : PHP et Perl API v6 Avertissements : Le fichier Version.txt précise l'environnement dans lequel

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Mandataires, caches et filtres

Mandataires, caches et filtres Mandataires, caches et filtres Pascal AUBRY IFSIC - Université de Rennes 1 Pascal.Aubry@univ-rennes1.fr Plan : mandataires caches filtrage serveur de proxy exemple de mise en œuvre Mandataire (proxy) Mandataire

Plus en détail

Sécurité PHP et MySQL

Sécurité PHP et MySQL Sécurité PHP et MySQL Ce document est extrait du travail de diplôme de M. DIZON dans l état.. Sécurité PHP et MySQL...1 1 Introduction...1 2 Sécurisation des scripts PHP...2 2.1 Introduction...2 2.2 Filtrage

Plus en détail

Introduction. 1 P a g e. Khalid BOURICHE

Introduction. 1 P a g e. Khalid BOURICHE Introduction Basé sur FreeBSD, pfsense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Alex Auvolat, Nissim Zerbib 4 avril 2014 Alex Auvolat, Nissim Zerbib Sécurité des systèmes informatiques 1 / 43 Introduction La sécurité est une chaîne : elle est aussi

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Live box et Nas Synology

Live box et Nas Synology Live box et Nas Synology Création : OpenOffice.org Version 2.3 Auteur : PHI Création : 18/01/2008: Version : 32 Modification : 24/03/2008 Fichier : E:\Mes documents\tuto NAS LB\tuto ftp.odt Imprimer moi

Plus en détail

Tutoriel Drupal «views»

Tutoriel Drupal «views» Tutoriel Drupal «views» Tutoriel pour la découverte et l utilisation du module Drupal «Views» 1 Dans ce tutoriel nous allons d abord voir comment se présente le module views sous Drupal 7 puis comment

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Manuel d intégration du service AByster

Manuel d intégration du service AByster Manuel d intégration du service AByster PHP API Version 1.0 11 février 2013 www.abyster.com 1 Table des matières 01. Objet... 3 02. Définitions... 3 03. Introduction... 4 04. Le Core... 5 04.1 Organisation

Plus en détail

DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE

DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE Sommaire Description du réseau GSB... 2 Réseau GSB original... 2 Réseau GSB utilisé en PPE... 2 Liste des s de l'infrastructure... 3 Implémentation

Plus en détail

Guide de l utilisateur WebSeekurity

Guide de l utilisateur WebSeekurity SCRT Information Security Julia Benz Guide de l utilisateur WebSeekurity Version 1.0 Mars 2012 Table des matières Table des matières i 1 Introduction 1 1.1 Contributions.............................. 1

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

BTS SIO 2012-2014. Dossier BTS. PURCHLA Romain

BTS SIO 2012-2014. Dossier BTS. PURCHLA Romain BTS SIO 2012-2014 Dossier BTS PURCHLA Romain 2012-2014 Lors d une création de serveur web plusieurs solution nous son proposé en voici quelques une. - LAMP (Linux, Apache, MySql, Php) La mise en place

Plus en détail

La sécurisation d applications

La sécurisation d applications Université Toulouse 1 Sciences Sociales 10 mars 2008 Les firewalls ne suffisent plus Mais ont-ils jamais été suffisants? La protection à 100% n existe pas. De plus certains protocoles doivent absolument

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Créez et administrez vos sites Web

Créez et administrez vos sites Web Joomla! 3.3 Créez et administrez vos sites Web Didier MAZIER Table des matières.. 1 Chapitre 1 : Découvrir Joomla! A. Les raisons de créer un site sous Joomla!.. 9 B. Se documenter sur Joomla! 9 C. La

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7

Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7 Jean-Marie Culot guide de référence Apache 2 Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7 Table des matières Introduction................................................................ 7 L'objectif.................................................................

Plus en détail

OCS. Installation d' OCS. Sécuriser MySQL et XAMPP

OCS. Installation d' OCS. Sécuriser MySQL et XAMPP OCS Installation d' OCS Prendre le fichier et l'exécuter. Répondre Y (yes) à l'inviter de commande. Décocher ''Review XAMPP Security'' Sécuriser MySQL et XAMPP Pour cela, se rendre sur l adresse http://localhost/security/

Plus en détail

Titre: Version: Dernière modification: Auteur: Statut: Licence:

Titre: Version: Dernière modification: Auteur: Statut: Licence: Titre: Mise en œuvre de mod_webobjects Version: 2.0 Dernière modification: 2010/09/06 20:00 Auteur: Aurélien Minet Statut: version finale Licence: Creative Commons

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot Une approche positive du filtrage applicatif Web Didier «grk» Conchaudron Sébastien «blotus» Blot 1 Un peu de background 2 Une hécatombe Juste en 2011: Sony, RSA, Orange, MySQL.com, HBgary & 600+ autres

Plus en détail

1 La visualisation des logs au CNES

1 La visualisation des logs au CNES 1 La visualisation des logs au CNES 1.1 Historique Depuis près de 2 ans maintenant, le CNES a mis en place une «cellule d analyse de logs». Son rôle est multiple : Cette cellule est chargée d analyser

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Comment surfer tranquille au bureau

Comment surfer tranquille au bureau Comment surfer tranquille au bureau Version 1.3 1 Contexte...1 2 Attention...2 3 Description de la méthode utilisée: SSH...2 3.1 Explication réseau...2 3.2 Explication logicielle d'un tunnel SSH...3 3.3

Plus en détail

Serveur Web Apache2. un beau message va s'afficher dans votre navigateur it work, c'est le contenu du fichier /var/www/index.html

Serveur Web Apache2. un beau message va s'afficher dans votre navigateur it work, c'est le contenu du fichier /var/www/index.html Wilson Leclercq Serveur Web Apache2 BTS SIO - E6 La Mise en Place du Serveur Apache 1 Présentation Apache est le plus populaire des serveurs HTTP ('HyperText Transfer Protocole') Libre, c'est un Protocole

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

Solution Wifi Visiteurs

Solution Wifi Visiteurs 5/12/2012 Solution Wifi Visiteurs Lycée Bahuet - Sodecaf Brive la Gaillarde Sommaire I. Le portail captif. 3 a) Présentation d Alcasar 3 b) Les composants logiciels.. 4 c) Schéma de principe. 7 d) Fonctionnement

Plus en détail

Préparation d un serveur Apache pour Zend Framework

Préparation d un serveur Apache pour Zend Framework Préparation d un serveur Apache pour Zend Framework Jacques THOORENS 30 novembre 2010 Résumé Cette petite introduction explique comment paramétrer son serveur Apache personnel pour en faire une machine

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

Configuration du routeur. Installer le service de certificats

Configuration du routeur. Installer le service de certificats Page 1 sur 21 Avec les paramètres par défaut, Outlook Web Access transmet tout le traffic en clair (y compris les noms d'utilisateur et les mots de passe) entre le serveur et le client. C'est pourquoi

Plus en détail

«Firefox, Le navigateur Web le plus sûr»

«Firefox, Le navigateur Web le plus sûr» «Firefox, Le navigateur Web le plus sûr» Création et déploiement d un Rootkit pour Firefox 3.0 Nicolas Paglieri www.ni69.info 11 mai 2009 «Firefox, Le navigateur Web le plus sûr». Tels sont les propos

Plus en détail

OSSEC, détection d intrusion libre et plus encore

OSSEC, détection d intrusion libre et plus encore OSSEC, détection d intrusion libre et plus encore Nicolas Sulek 25 septembre 2014 Nicolas Sulek OSSEC 25 septembre 2014 1 / 21 Présentation 1 Présentation Fonctionnement Support multi-os Généralités 2

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail