Sécurité des applications web. Daniel Boteanu

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des applications web. Daniel Boteanu"

Transcription

1 I F8420: Éléments de Sécurité des applications web Daniel Boteanu

2 Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2

3 Architecture des applications web Client légitime Internet Server Web Server BD HTTP HTML SQL 3

4 Architecture des applications web Client légitime Internet Server Web Server BD XML SQL HTTP HTML Serveur d application 4

5 Architecture des applications web Client légitime Internet Server Web Server BD XML SQL HTTP 浀 HTML Serveur d application Kerberos LDAP Serveur d authentification 5

6 Architecture des applications web Client légitime Client malicieux Internet Server Web Server BD XML SQL HTTP HTML Serveur d application Kerberos LDAP Serveur d authentification 6

7 Architecture des applications web Client légitime Internet Server Web Server BD HTTP HTTP XML SQL HTML 浀 HTML Client malicieux Pare-feu Kerberos LDAP Serveur d application Serveur d authentification 7

8 Problèmes de sécurité Authentification Vérification des données usager SQL injection Cross site scripting Parameter tampering Phishing (hameçonnage) Logique application 8

9 AUTHE TIFICATIO 9

10 Authentification Composantes impliquées Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 10

11 Authentification Canal de communication sécurisé (https) Challenge response ( TLM, Kerberos) Réauthentification à des intervalles sécurisés Permission des usagers Tester Authentifier le client Authentifier le serveur 浀 11

12 Authentification Authentification du serveur Certificat SSL 12

13 Authentification Authentification du serveur Certificat SSL Autre 13

14 ө (Input validation) VÉRIFICATIO DES DO ÉES USAGER 14

15 Ce qu on fait Vérification des données usager (Input validation) Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 15

16 Code source html Vérification des données usager (Input validation) <form method="post" onsubmit="return checkform(this);"> <script language="javascript" type="text/javascript"> <!-- function checkform ( form ) { // see // for an explanation of this script and how to use it on your // own website // ** START ** if (form. .value == "") { alert( "Please enter your address." ); form. .focus(); return false ; } // ** END ** return true ; } //--> </script> 16

17 Ce qu on devrais faire Vérification des données usager (Input validation) Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 17

18 Attaques Injection SQL (SQL Injection) Cross Site Scripting (XSS) Variable tampering Vérification des données usager (Input validation) 18

19 Vérification des données usager SQL I JECTIO 19

20 Injection SQL (SQL Injection) Client légitime Vérification des données usager (Input validation) Server BD extract($_post); Server Web $req = "select mem_code from MEMBRES where mem_login = '$login' and mem_pwd = '$pass'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 20

21 Injection SQL (SQL Injection) Client légitime daniel Xa4!dfga Vérification des données usager (Input validation) Server BD select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = 'Xa4!dfga' extract($_post); 5 Server Web $req = "select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = 'Xa4!dfga'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 21

22 Injection SQL (SQL Injection) Vérification des données usager (Input validation) Server BD daniel ' or '1'='1 Client malicieux select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = '' or '1'='1' extract($_post); Server Web $req = "select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = '' or '1'='1'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 22

23 Injection SQL (SQL Injection) Vérification des données usager (Input validation) daniel Client malicieux x'; INSERT INTO members (' ','passwd','login_id','full_name') VALUES Friedl');-- 23

24 Vérification des données usager CROSS SITE SCRIPTI G 24

25 Cross site scripting (XSS) Client légitime Gagner de l argent Search Vérification des données usager (Input validation) Search results for Gagner de l argent: Comment gagner de l'argent facile et des cadeaux sur internet L' objectif du blog est de présenter toutes les idées qui permettent d' économiser Server Web <html> <head></head> <body> extract($_post); $req = "select * from POSTS where title = '$stitle' <h1>search results for Gagner de l argent :</h1> <itemize> <item>comment gagner deacile et des cadeaux sur internet </item> <item>l' objectif du blog est de présenter toutes les idées qui permettent d' économiser </item> </itemize> </body> </html> 25

26 Cross site scripting (XSS) Vérification des données usager (Input validation) Search results for Super: <b>super</b> No results found Client malicieux Server Web Search <html> <head></head> <body> extract($_post); <h1>search results for <b>super</b> :</h1> No results found </itemize> </body> </html> $req = "select * from POSTS where title = '$stitle' 26

27 Cross site scripting (XSS) Vérification des données usager (Input validation) Server BD Post Client malicieux id message 1 Hello 2 Bien fait... 3 <script type="text/javascript">do cument.location.href= htt p://boteanu.com"</script> <script type="text/javascript">document.location.href= Your message has been posted 27

28 Cross site scripting (XSS) Client légitime Vérification des données usager (Input validation) Server BD Guestbook messages: Hello Bien fait... <h1>guestbook messages:</h1> Hello<br> Bien fait<br> <script type="text/javascript">document.location.hr ef= id message 1 Hello 2 Bien fait... 3 <script type="text/javascript">docu ment.location.href= oteanu.com"</script> 28

29 Comment se protéger? Valider les données de l usager sur le serveur Web et/ou sur le serveur d applications limiter la taille de l entrée refuser les caractères spéciaux \ / ; - < > accepter seulement les caractères nécessaires Utiliser les SQL Stored Procedures Gérer les permissions sur la basé de données usagers, rôles, permissions Messages d erreur Vérifications Vérification des données usager (Input validation) 29

30 Comment vérifier si un site est vulnérable? Vérification des données usager (Input validation) Rien fait pour protéger -> probablement vulnérable Développé sans gestion de projet -> probablement vulnérable Outils automatiques Nikto Acunetix ($$) WebScarab Autres (http://sectools.org/web-scanners.html) 30

31 Phishing HAMEÇO AGE 31

32 Hameçonnage (Phishing) Server Web Faux Client malicieux Vous avez gagné 1 million. Connectez vous sur le site de la banque en cliquant sur https://www.desjard1ns.com Client légitime Internet Server Web Server BD Pare-feu Serveur d application 32

33 Comment se protéger? Hameçonnage (Phishing) Filtrer le spam Authentification du serveur Eduquer les utilisateurs 33

34 LOGIQUE DE L APPLICATIO 34

35 Logique de l application Chaque attaque est différente Exploite la logique de l application Difficile à détecter Exemples: Acheter un livre de -20$ Créer un million d usagers et écrire des messages Enlever le câble réseau au milieu d une partie d échec 35

36 CO CLUSIO S 36

37 Conclusions Attaques web très populaires Facile de créer une application vulnérable Validation des données usager Éducation des usagers Principe de sécurité de l oignon (layered security) 37

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

MIF30 Cryptographie. Les Injections SQL

MIF30 Cryptographie. Les Injections SQL MIF30 Cryptographie Les Injections SQL Définition Une injection SQL est un type d exploitation d une faille de sécurité. Celle-ci consiste à injecter des caractères afin de modifier le comportement d une

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

OWASP Top Ten 2007 Sommaire exécutif

OWASP Top Ten 2007 Sommaire exécutif OWASP Top Ten 2007 Sommaire exécutif Benoit Guerette, gueb@owasp.org Montreal Chapter Leader 24 février 2009 OWASP Education Project Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute

Plus en détail

Université Mohamed Premier Année universitaire 2014/2015. Module «Technologies du Web» ---------------------------- Feuille de TP 6 MYSQL/PHP

Université Mohamed Premier Année universitaire 2014/2015. Module «Technologies du Web» ---------------------------- Feuille de TP 6 MYSQL/PHP Université Mohamed Premier Année universitaire 2014/2015 Faculté des Sciences Filière SMI S6 Module «Technologies du Web» ---------------------------- Feuille de TP 6 MYSQL/PHP Exercice 1 : Testez les

Plus en détail

Vulnérabilités logicielles Injection SQL

Vulnérabilités logicielles Injection SQL MGR850 Hiver 2014 Vulnérabilités logicielles Injection SQL Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan SQL Injection SQL Injections

Plus en détail

TD2-1 : Application client-serveur V2.3.0

TD2-1 : Application client-serveur V2.3.0 TD2-1 : Application client-serveur V2.3.0 Cette œuvre est mise à disposition selon les termes de la licence Creative Commons Attribution Pas d'utilisation Commerciale Partage à l'identique 3.0 non transposé.

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Programmation Web. Sites dynamiques et bases de données. Mathieu Lacroix. I.U.T. de Villetaneuse. Année 2015-2016

Programmation Web. Sites dynamiques et bases de données. Mathieu Lacroix. I.U.T. de Villetaneuse. Année 2015-2016 Programmation Web Sites dynamiques et bases de données Mathieu Lacroix I.U.T. de Villetaneuse Année 2015-2016 E-mail : mathieu.lacroix@iutv.univ-paris13.fr Page Web : http: // www-lipn. univ-paris13. fr/

Plus en détail

Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012

Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012 web client Magali Contensin 25 octobre 2012 ANF Dev Web ASR Carry-Le-Rouet Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX Visibilité du

Plus en détail

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI Vulnérabilités logicielles Injection SQL Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1 Plan SQL Injection SQL Injections SQL standards Injections SQL de requêtes

Plus en détail

PHP et mysql. Code: php_mysql. Olivier Clavel - Daniel K. Schneider - Patrick Jermann - Vivian Synteta Version: 0.9 (modifié le 13/3/01 par VS)

PHP et mysql. Code: php_mysql. Olivier Clavel - Daniel K. Schneider - Patrick Jermann - Vivian Synteta Version: 0.9 (modifié le 13/3/01 par VS) PHP et mysql php_mysql PHP et mysql Code: php_mysql Originaux url: http://tecfa.unige.ch/guides/tie/html/php-mysql/php-mysql.html url: http://tecfa.unige.ch/guides/tie/pdf/files/php-mysql.pdf Auteurs et

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Injections SQL Adrien Baborier, créateur de l extension AcyMailing Nicolas Claverie, créateur de l extension HikaShop

Injections SQL Adrien Baborier, créateur de l extension AcyMailing Nicolas Claverie, créateur de l extension HikaShop Comprendre et éviter les failles les plus répandues Injections SQL Adrien Baborier, créateur de l extension AcyMailing Nicolas Claverie, créateur de l extension HikaShop Sommaire 1. Vérifications coté

Plus en détail

Sécurité PHP et MySQL

Sécurité PHP et MySQL Sécurité PHP et MySQL Ce document est extrait du travail de diplôme de M. DIZON dans l état.. Sécurité PHP et MySQL...1 1 Introduction...1 2 Sécurisation des scripts PHP...2 2.1 Introduction...2 2.2 Filtrage

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

SQL Server et Active Directory

SQL Server et Active Directory SQL Server et Active Directory Comment requêter AD depuis SQL Server Comment exécuter des requêtes de sélection sur un Active Directory depuis SQL Server? L'utilisation du principe des serveurs liés adapté

Plus en détail

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion J. Hennecart Serval-Concept Lundi 23 février 2015 J. Hennecart des injections SQL sont des vulnérabilités permettant de faire exécuter des commandes, non prévues initialement, à une base de données. La

Plus en détail

PHP et MySQL : notions de sécurité

PHP et MySQL : notions de sécurité PHP et MySQL : notions de sécurité Jean-Baptiste.Vioix@u-bourgogne.fr Dans ces quelques lignes des notions de sécurité élémentaires vont être présentées. Elles sont insuffisantes pour toute application

Plus en détail

COURS 6 Adopter un style de programmation clair

COURS 6 Adopter un style de programmation clair COURS 6 Adopter un style de programmation clair Lorsque votre site prend de l'importance, le code devient vite illisible et incompréhensible si vous ne pensez pas à l'organiser. Mais comment organiser

Plus en détail

Programmation MySQL/PHP. Programmation MySQL/PHP p.1/19

Programmation MySQL/PHP. Programmation MySQL/PHP p.1/19 Programmation MySQL/PHP Programmation MySQL/PHP p.1/19 CGI et bases de données Principe : création de documents à partir d une BD MySQL se charge du stockage, de la protection des données, de l interface

Plus en détail

Rapport de Cryptographie

Rapport de Cryptographie Cryptographie [MIF30] / Année 2008-2009 Rapport de Cryptographie Les Injections SQL Sylvie Tixier & François-Xavier Charlet Page 1 20/05/2009 Sommaire Introduction...3 Définition d une injection SQL...3

Plus en détail

La sécurité des accès grand public

La sécurité des accès grand public La sécurité des accès grand public Cédric Blancher blancher@cartel-securite.fr Cartel Sécurité Salon Vitré On Line 25-27 octobre 2002 Plan 1. Introduction 2. Les risques spécifiques 3. Les bonnes habitudes

Plus en détail

Systèmes d'informations

Systèmes d'informations Systèmes d'informations C'est un ensemble d'outils pour stocker / gérer / diffuser des informations / des données Le stockage : Bases de données + SGDBR La gestion : Saisie, Mise à jour, Contrôle La diffusion

Plus en détail

Système d information

Système d information w w w. a g r o p a r i s t e c h. f r Système d information http://www.agroparistech.fr/systeme-d-information.html Requêtes MySQL en PHP avec AgroSIXPack Liliana IBANESCU UFR Informatique Département MMIP

Plus en détail

SSL. Secure Socket Layer. R. Kobylanski romain.kobylanski@inpg.fr. janvier 2005 - version 1.1 FC INPG. Protocole SSL Application avec stunnel

SSL. Secure Socket Layer. R. Kobylanski romain.kobylanski@inpg.fr. janvier 2005 - version 1.1 FC INPG. Protocole SSL Application avec stunnel SSL Secure Socket Layer R. Kobylanski romain.kobylanski@inpg.fr FC INPG janvier 2005 - version 1.1 1 Protocole SSL 2 SSL/TLS Encapsule des protocoles non sécurisés (HTTP IMAP...) dans une couche chiffrée

Plus en détail

Dojo partie 1. Widgets dojo.form Validation des formulaires Côté client Côté serveur Requêtes Ajax

Dojo partie 1. Widgets dojo.form Validation des formulaires Côté client Côté serveur Requêtes Ajax Dojo partie 1 Widgets dojo.form Validation des formulaires Côté client Côté serveur Requêtes Ajax 1 Modules Dojo 3 espaces de noms principaux: dojo: bibliothèque de base dijit: bibliothèque de widgets

Plus en détail

Microsoft TechNet - Les End Points ou points de terminaison

Microsoft TechNet - Les End Points ou points de terminaison Page 1 sur 5 Plan du site Accueil International Rechercher sur Microsoft France : Ok Accueil TechNet Produits & Technologies Solutions IT Sécurité Interoperabilité Déploiement des postes de travail Scripting

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

LES INJECTIONS SQL. Que20. 08 novembre 2015

LES INJECTIONS SQL. Que20. 08 novembre 2015 LES INJECTIONS SQL Que20 08 novembre 2015 Table des matières 1 Introduction 5 2 Qu est-ce qu une injection SQL? 7 3 Premier cas : injection SQL sur une chaîne de caractères 9 3.1 Comment s en protéger?..............................

Plus en détail

Fonctionnalités GraphicMail Revendeur

Fonctionnalités GraphicMail Revendeur Fonctionnalités GraphicMail Revendeur Dans ce document vous apprendrez comment: Section 1: Personnaliser le pied de page Section 2: Personnaliser les pages de liens Section 3: Créer un sous-compte pour

Plus en détail

Technologies Web. Farah Benamara Zitoune Maître de conférences IRIT-UPS benamara@irit.fr

Technologies Web. Farah Benamara Zitoune Maître de conférences IRIT-UPS benamara@irit.fr Technologies Web Farah Benamara Zitoune Maître de conférences IRIT-UPS benamara@irit.fr Plan du cours Cours 1 : Introduction HTML/CSS Cours 2 : Introduction programmation web + javascirpt Cours 3 : Introduction

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

Formation PHP/MySQL. Pierre PATTARD. Avril 2005

Formation PHP/MySQL. Pierre PATTARD. Avril 2005 Formation PHP/MySQL Pierre PATTARD Julien BENOIT Avril 2005 Le PHP Langage interprété, côté serveur pages interprétées par le serveur web pas de compilation, code éditable avec un bloc notes. aucune différences

Plus en détail

CREATION WEB DYNAMIQUE

CREATION WEB DYNAMIQUE CREATION WEB DYNAMIQUE IV ) MySQL IV-1 ) Introduction MYSQL dérive directement de SQL (Structured Query Language) qui est un langage de requêtes vers les bases de données relationnelles. Le serveur de

Plus en détail

RIZIV INAMI. Guide eid pour Mac

RIZIV INAMI. Guide eid pour Mac RIZIV INAMI Guide eid pour Mac 1 Contenu 1. Introduction... 3 2. Installation du programme/middleware eid... 3 2.1 Etape 1... 4 2.2 Etape 2... 5 2.3 Etape 3... 5 3. Configuration du Navigateur... 5 3.1

Plus en détail

Pratique et administration des systèmes

Pratique et administration des systèmes Université Louis Pasteur Licence Informatique (L2) UFR de Mathématiques et Informatique Année 2007/2008 1 But du TP Pratique et administration des systèmes TP10 : Technologie LAMP Le but de ce TP est de

Plus en détail

Attaques applicatives

Attaques applicatives Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites

Plus en détail

Pages Web dynamiques et bases de données

Pages Web dynamiques et bases de données Cours 2 Pages Web dynamiques et bases de données Une page Web dynamique est générée automatiquement grâce à l exécution d un script (PHP par exemple). C est le résultat de l exécution de ce script (code

Plus en détail

Architecture applicative de l application Web

Architecture applicative de l application Web Architecture applicative de l application Web Principes d organisation de l application PHP Gsb-AppliFrais Les principes d'organisation de l'application s'inspirent des travaux réalisés autour du contexte

Plus en détail

PHP 4 PARTIE : BASE DE DONNEES

PHP 4 PARTIE : BASE DE DONNEES PHP 4 PARTIE : BASE DE DONNEES 1. Introduction 2. Présentation de MySQL 3. Principe 4. Connexion 5. Interrogation 6. Extraction des données 7. Fonctions de services 8. Traitement des erreurs 9. Travaux

Plus en détail

Sécurité d un site php

Sécurité d un site php Sensibilisation IUT de Fontainebleau 8 juin 2015 1 2 1 2 Enjeux L application manipulent-ils des données fiables? L application interagit-elle avec le bon interlocuteur? Le secret des données échangées

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Guide d'installation et de configuration du module de paiement Atos/Sips

Guide d'installation et de configuration du module de paiement Atos/Sips Guide d'installation et de configuration du module de paiement Atos/Sips Développé par : Ryu007 et Quadra Team Documentation réalisée par : Marine PASQUIN Quadra Informatique Dernière révision : avril

Plus en détail

PHP /MySQL Interface d'accès aux BDDs PDO. Youssef CHAHIR

PHP /MySQL Interface d'accès aux BDDs PDO. Youssef CHAHIR PHP /MySQL Interface d'accès aux BDDs PDO Youssef CHAHIR 1 PLAN Architecture Créer une interface PHP/MySQL : Établir une connexion Exécuter une requête Gérer les erreurs Exploiter les résultats de la requête

Plus en détail

RIZIV INAMI. Guide eid pour PC

RIZIV INAMI. Guide eid pour PC RIZIV INAMI Guide eid pour PC 1 Contenu 1. Introduction... 3 2. Installation du programme/middleware eid... 3 2.1 Etape 1... 3 2.2 Etape 2... 3 2.3 Etape 3... 4 3. Configuration du Navigateur... 4 3.1

Plus en détail

Compte rendu de PHP MySQL : création d un formulaire de base de données

Compte rendu de PHP MySQL : création d un formulaire de base de données REVILLION Joris Décembre 2009 3EI Compte rendu de PHP MySQL : création d un formulaire de base de données Objectifs : Le principal objectif de ce cours est de découvrir et de nous familiariser avec le

Plus en détail

08/01/2013 www.toubkalit.ma

08/01/2013 www.toubkalit.ma 1 1 - La déclaration des chaînes 2 - Les opérations sur les chaînes 3 - Des exemples utiles 2 Pour déclarer une chaîne de caractères, vous pouvez utiliser les guillemets (") ou l'apostrophe ('). var chaine1="bonjour";

Plus en détail

TME 1 JAVASCRIPT (2 SEANCES)

TME 1 JAVASCRIPT (2 SEANCES) TME 1 JAVASCRIPT (2 SEANCES) 1. EXERCICES DE BASE Créez des fonctions javascript pour : - faire un jeu «plus petit plus grand» qui tire un nombre au hasard que l utilisateur doit trouver en entrant des

Plus en détail

SYSTÈMES D INFORMATIONS

SYSTÈMES D INFORMATIONS SYSTÈMES D INFORMATIONS Développement Modx Les systèmes de gestion de contenu Les Content Management Système (CMS) servent à simplifier le développement de sites web ainsi que la mise à jour des contenus.

Plus en détail

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache.

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache. Projet Serveur Web I. Contexte II. Définitions On appelle serveur Web aussi bien le matériel informatique que le logiciel, qui joue le rôle de serveur informatique sur un réseau local ou sur le World Wide

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

La sécurisation d applications

La sécurisation d applications Université Toulouse 1 Sciences Sociales 10 mars 2008 Les firewalls ne suffisent plus Mais ont-ils jamais été suffisants? La protection à 100% n existe pas. De plus certains protocoles doivent absolument

Plus en détail

Par KENFACK Patrick MIF30 19 Mai 2009

Par KENFACK Patrick MIF30 19 Mai 2009 Par KENFACK Patrick MIF30 19 Mai 2009 1 Introduction II. Qu est ce qu un OpenId? III. Acteurs IV. Principe V. Implémentation VI. Sécurité VII. conclusion I. 2 Vue le nombre croissant de sites web nous

Plus en détail

Webmaster : Installation de l'incentive. Objet : Récupération du tag de rotation à placer sur une page de votre site.

Webmaster : Installation de l'incentive. Objet : Récupération du tag de rotation à placer sur une page de votre site. Webmaster : Installation de l'incentive Objet : Récupération du tag de rotation à placer sur une page de votre site. Connectez vous sur votre compte webmaster, puis cliquez dans le menu sur «Tag de diffusion»

Plus en détail

Installation de Shinken

Installation de Shinken Installation de Shinken Shinken a besoin d un utilisateur pour fonctionner. adduser m shinken On passe à l installation des dépendances python nécessaire à l installation apt-get install python-pycurl

Plus en détail

Information sur l accés sécurisé aux services Baer Online Monaco

Information sur l accés sécurisé aux services Baer Online Monaco Information sur l accés sécurisé aux services Baer Online Monaco Avant de commencer, nettoyez la mémoire cache de votre navigateur internet: Exemple pour les versions à partir d Internet Explorer 6.x:

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Manuel Utilisateur de la fonction 3DSecure en mode interface Direct de la solution de paiement Payline

Manuel Utilisateur de la fonction 3DSecure en mode interface Direct de la solution de paiement Payline Manuel Utilisateur de la fonction 3DSecure en mode interface Direct de la solution de paiement Payline Version 1.D Payline Monext Propriétaire Page 1 / 15 Page des évolutions Le tableau ci-dessous liste

Plus en détail

Sécurité PHP. FaillesUpload

Sécurité PHP. FaillesUpload Sécurité PHP FaillesUpload Table des matières Introduction...... 3 L upload de fichiers......... 3 Protections coté client...... 4 Protections coté serveur... 5 1. Vérification du type de contenu......

Plus en détail

DU PLM. TP : produire et consommer des services web en PHP

DU PLM. TP : produire et consommer des services web en PHP DU PLM TP : produire et consommer des services web en PHP NuSOAP est une librairie PHP proposée par NuSphere et Dietrich Ayala. Elle fournit un ensemble de classes (aucune extension PHP n est requise au

Plus en détail

Types d incidents. Exemples d insécurité. La sécurité est une attitude. Et pourtant. Rappels sur le chiffrement. Principes de cryptographie

Types d incidents. Exemples d insécurité. La sécurité est une attitude. Et pourtant. Rappels sur le chiffrement. Principes de cryptographie Types d incidents Exemples d insécurité Pierre-Yves Bonnetain B&A Consultants py.bonnetain@ba-cst.com Contournement d un chiffrement Débordement de tampon Absence de validation d informations Exécution

Plus en détail

Interfaçage avec une base de données

Interfaçage avec une base de données Interfaçage avec une base de données Principe PHP propose de nombreux outils permettant de travailler avec la plupart des SGBD Oracle, Sybase, Microsoft SQL Server, PostgreSQL ou encore MySQL Php fournit

Plus en détail

Extended communication server 4.1 : VoIP SIP service- Administration

Extended communication server 4.1 : VoIP SIP service- Administration Extended communication server 4.1 : VoIP SIP service- Administration Mai, 2008 Alcatel-Lucent Office Offer - All Rights Reserved Alcatel-Lucent 2007 Ce document explique comment configurer le Service VOIP-SIP

Plus en détail

1. Avec un script php. 2. En utilisant phpmyadmin

1. Avec un script php. 2. En utilisant phpmyadmin Université Lumière - Lyon 2 Master d Informatique M1 - Année 2006-2007 Programmation Web - TDs n 8 9 : PHP - Mysql L. Tougne (http ://liris.cnrs.fr/laure.tougne), 20/11/06 L objectif de ce TD est d utiliser

Plus en détail

Transfert de fichiers EFIDEM

Transfert de fichiers EFIDEM Transfert de fichiers EFIDEM Traitement XML Format de fichier/message XML pour l envoi de SMS en mode transfert de fichiers/messages 26/10/2011 Contenu EFIDEM...2 Principe...2 Transfert de fichiers...3

Plus en détail

Installation et configuration sur le NAS Synology DSM 4.0

Installation et configuration sur le NAS Synology DSM 4.0 Installation et configuration sur le NAS Synology DSM 4.0 Rendez-vous sur la page d authentification du nas Synology. Dans le cas présent, on part du principe que votre NAS a été mise à jour en version

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

Sécurité des applications web

Sécurité des applications web Sécurité des applications web Module 03 Sécurité des applications Web Campus-Booster ID : 697 www.supinfo.com Copyright SUPINFO. All rights reserved Sécurité des applications web Votre formateur Formation

Plus en détail

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward PHP CLÉS EN MAIN 76 scripts efficaces pour enrichir vos sites web par William Steinmetz et Brian Ward TABLE DES MATIÈRES INTRODUCTION 1 1 TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR LES SCRIPTS PHP

Plus en détail

Projet Magistère: SSL

Projet Magistère: SSL Université Joseph Fourier, IMA Janvier 2010 Table des matières 1 Introduction 2 Qu est ce que SSL? 3 Historique de SSL/TLS 4 Théorie à propos du fonctionnement de SSL 5 Structure d un certificat 6 SSL

Plus en détail

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1 La sécurité pour les développeurs Christophe Villeneuve @hellosct1 Qui... est Christophe Villeneuve? afup lemug.fr mysql mariadb drupal demoscene firefoxos drupagora phptour forumphp solutionlinux demoinparis

Plus en détail

Headers, cookies et sessions

Headers, cookies et sessions Headers, cookies et sessions Chargement de fichiers (upload) Entêtes HTTP et redirections Gestion des cookies et des sessions de connexions Authentification Validation des données Programmation avancée

Plus en détail

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Bienvenue Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Contexte 2 Agenda 1 Présentation de la Blade Application Control: catégorisation, Appwiki 2 Interfaçage avec la Blade

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

DEMARREZ RAPIDEMENT VOTRE EVALUATION

DEMARREZ RAPIDEMENT VOTRE EVALUATION Pentaho Webinar 30 pour 30 DEMARREZ RAPIDEMENT VOTRE EVALUATION Resources & Conseils Sébastien Cognet Ingénieur avant-vente 1 Vous venez de télécharger une plateforme moderne d intégration et d analyses

Plus en détail

NAMEBAY API. Appendice v1 Gestion Dns. Documentation technique

NAMEBAY API. Appendice v1 Gestion Dns. Documentation technique NAMEBAY API Appendice v1 Gestion Dns Documentation technique CONTENTS 1 PRÉSENTATION... 3 2 COMMANDES... 5 2.1 Syntaxe et description des chaînes XML des commandes... 5 2.1.1 Syntaxe de l envoi d une commande

Plus en détail

Cours. Sécurité et cryptographie. Chapitre 3: Vulnérabilités des logiciels Attaques Web -

Cours. Sécurité et cryptographie. Chapitre 3: Vulnérabilités des logiciels Attaques Web - Cours Sécurité et cryptographie Chapitre 3: Vulnérabilités des logiciels Attaques Web - logiciels malveillants 1 Plan Partie 1: Vulnérabilités des logiciels Contexte CWE/SANS Top 25 Most Dangerous Software

Plus en détail

ORIAS -Registre Unique

ORIAS -Registre Unique Guide utilisateur ORIAS -Registre Unique Service d interrogation des inscriptions Sommaire 1 PREAMBULE... 3 1.1 QU EST-CE QUE LE SERVICE D INTERROGATION DES INSCRIPTIONS?... 3 1.2 LES FONCTIONNALITES OFFERTES...

Plus en détail

Procédures Stockées WAVESOFT... 12 ws_sp_getidtable... 12. Exemple :... 12. ws_sp_getnextsouche... 12. Exemple :... 12

Procédures Stockées WAVESOFT... 12 ws_sp_getidtable... 12. Exemple :... 12. ws_sp_getnextsouche... 12. Exemple :... 12 Table des matières Les Triggers... 2 Syntaxe... 2 Explications... 2 Les évènements déclencheurs des triggers... 3 Les modes de comportements des triggers... 4 Les pseudo tables... 5 Exemple... 6 Les procédures

Plus en détail

Authentification par certificats X.509

Authentification par certificats X.509 INTERNET PROFESSIONNEL Avril 1999 Mise en œuvre: sécurité Authentification par certificats X.509 Patrick CHAMBET http://www.chambet.com Patrick CHAMBET - 1 - L'objectif de cet article: Présenter la technique

Plus en détail

Sécurisation d une application ASP.NET

Sécurisation d une application ASP.NET Sécurisation d une application ASP.NET 1- Authentification L authentification est un processus essentiel à la sécurisation d une application internet. Ce processus permet d authentifier l entité à l origine

Plus en détail

Dr.Web Les Fonctionnalités

Dr.Web Les Fonctionnalités Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise

Plus en détail

TD3 : PHP «avancé» V2.4.0

TD3 : PHP «avancé» V2.4.0 TD3 : PHP «avancé» V2.4.0 Cette œuvre est mise à disposition selon les termes de la licence Creative Commons Attribution Pas d'utilisation Commerciale Partage à l'identique 3.0 non transposé. Document

Plus en détail

ebir th Liste de contrôle Communes ebirth service web pour les agents de l Etat civil Version 2.0

ebir th Liste de contrôle Communes ebirth service web pour les agents de l Etat civil Version 2.0 ebir th ebirth service web pour les agents de l Etat civil Communes Version 2.0 Table des matières 1 INTRODUCTION... 3 2 ETAPES A SUIVRE POUR L UTILISATION DU SERVICE WEB EBIRTH... 4 3 ANNEXE : TABLEAU

Plus en détail

ALAIN BENSOUSSAN SELAS

ALAIN BENSOUSSAN SELAS OUTIL CIL MANUEL UTILISATEUR 05 06 2015 V.0.1 Sommaire analytique 1. Installation de l application 3 1.1 Présentation technique de l architecture de l application CIL 3 1.2 Procédure d installation de

Plus en détail

Développement d'applications sécurisées avec Zend Framework

Développement d'applications sécurisées avec Zend Framework Développement d'applications sécurisées avec Zend Framework Mickaël Perraud 1 Développement sécurisé d'applications avec Zend Framework Qui suis-je? Mickaël Perraud Contributeur Zend Framework Responsable

Plus en détail

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion Copyright 2009 Alt-N Technologies. 3 allée de la Crabette Sommaire Résumé... 3 MDaemon

Plus en détail

LSI2 Programmation Web TP n 4 du 17 décembre 2007

LSI2 Programmation Web TP n 4 du 17 décembre 2007 Page 1 sur 6 LSI2 Programmation Web TP n 4 du 17 décembre 2007 Corrigé des TPs précédents Le code source de la solution est fourni dans un fichier.zip téléchargeable à l adresse http://www.isitix.com/enssat/enssat20071217.zip

Plus en détail

Titre Installation et configuration d une CA sous Windows Server 2008 Propriétaire Tavares José Classification Interne Date dernière 28 Septembre 2009

Titre Installation et configuration d une CA sous Windows Server 2008 Propriétaire Tavares José Classification Interne Date dernière 28 Septembre 2009 Titre Installation et configuration d une CA sous Windows Server 2008 Propriétaire Tavares José Classification Interne Date dernière 28 Septembre 2009 modification Chemin\NomFichier \\10.1.1.1\FilesTD\Group4\Personnel\Tavares\00_EIG\CA_LaboTD.doc

Plus en détail

Introduction à Ajax. CNAM le 2013 O. Pons S. Rosmorduc

Introduction à Ajax. CNAM le 2013 O. Pons S. Rosmorduc 2013 Introduction à Ajax CNAM le 2013 O. Pons S. Rosmorduc 1 / 18 Principe général de fonctionnement Faire des requettes http sans avoir recharger une page entiere. Communication de javascript avec les

Plus en détail