Sécurité des applications web. Daniel Boteanu

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des applications web. Daniel Boteanu"

Transcription

1 I F8420: Éléments de Sécurité des applications web Daniel Boteanu

2 Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2

3 Architecture des applications web Client légitime Internet Server Web Server BD HTTP HTML SQL 3

4 Architecture des applications web Client légitime Internet Server Web Server BD XML SQL HTTP HTML Serveur d application 4

5 Architecture des applications web Client légitime Internet Server Web Server BD XML SQL HTTP 浀 HTML Serveur d application Kerberos LDAP Serveur d authentification 5

6 Architecture des applications web Client légitime Client malicieux Internet Server Web Server BD XML SQL HTTP HTML Serveur d application Kerberos LDAP Serveur d authentification 6

7 Architecture des applications web Client légitime Internet Server Web Server BD HTTP HTTP XML SQL HTML 浀 HTML Client malicieux Pare-feu Kerberos LDAP Serveur d application Serveur d authentification 7

8 Problèmes de sécurité Authentification Vérification des données usager SQL injection Cross site scripting Parameter tampering Phishing (hameçonnage) Logique application 8

9 AUTHE TIFICATIO 9

10 Authentification Composantes impliquées Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 10

11 Authentification Canal de communication sécurisé (https) Challenge response ( TLM, Kerberos) Réauthentification à des intervalles sécurisés Permission des usagers Tester Authentifier le client Authentifier le serveur 浀 11

12 Authentification Authentification du serveur Certificat SSL 12

13 Authentification Authentification du serveur Certificat SSL Autre 13

14 ө (Input validation) VÉRIFICATIO DES DO ÉES USAGER 14

15 Ce qu on fait Vérification des données usager (Input validation) Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 15

16 Code source html Vérification des données usager (Input validation) <form method="post" onsubmit="return checkform(this);"> <script language="javascript" type="text/javascript"> <!-- function checkform ( form ) { // see // for an explanation of this script and how to use it on your // own website // ** START ** if (form. .value == "") { alert( "Please enter your address." ); form. .focus(); return false ; } // ** END ** return true ; } //--> </script> 16

17 Ce qu on devrais faire Vérification des données usager (Input validation) Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 17

18 Attaques Injection SQL (SQL Injection) Cross Site Scripting (XSS) Variable tampering Vérification des données usager (Input validation) 18

19 Vérification des données usager SQL I JECTIO 19

20 Injection SQL (SQL Injection) Client légitime Vérification des données usager (Input validation) Server BD extract($_post); Server Web $req = "select mem_code from MEMBRES where mem_login = '$login' and mem_pwd = '$pass'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 20

21 Injection SQL (SQL Injection) Client légitime daniel Xa4!dfga Vérification des données usager (Input validation) Server BD select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = 'Xa4!dfga' extract($_post); 5 Server Web $req = "select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = 'Xa4!dfga'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 21

22 Injection SQL (SQL Injection) Vérification des données usager (Input validation) Server BD daniel ' or '1'='1 Client malicieux select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = '' or '1'='1' extract($_post); Server Web $req = "select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = '' or '1'='1'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 22

23 Injection SQL (SQL Injection) Vérification des données usager (Input validation) daniel Client malicieux x'; INSERT INTO members (' ','passwd','login_id','full_name') VALUES Friedl');-- 23

24 Vérification des données usager CROSS SITE SCRIPTI G 24

25 Cross site scripting (XSS) Client légitime Gagner de l argent Search Vérification des données usager (Input validation) Search results for Gagner de l argent: Comment gagner de l'argent facile et des cadeaux sur internet L' objectif du blog est de présenter toutes les idées qui permettent d' économiser Server Web <html> <head></head> <body> extract($_post); $req = "select * from POSTS where title = '$stitle' <h1>search results for Gagner de l argent :</h1> <itemize> <item>comment gagner deacile et des cadeaux sur internet </item> <item>l' objectif du blog est de présenter toutes les idées qui permettent d' économiser </item> </itemize> </body> </html> 25

26 Cross site scripting (XSS) Vérification des données usager (Input validation) Search results for Super: <b>super</b> No results found Client malicieux Server Web Search <html> <head></head> <body> extract($_post); <h1>search results for <b>super</b> :</h1> No results found </itemize> </body> </html> $req = "select * from POSTS where title = '$stitle' 26

27 Cross site scripting (XSS) Vérification des données usager (Input validation) Server BD Post Client malicieux id message 1 Hello 2 Bien fait... 3 <script type="text/javascript">do cument.location.href= htt p://boteanu.com"</script> <script type="text/javascript">document.location.href= Your message has been posted 27

28 Cross site scripting (XSS) Client légitime Vérification des données usager (Input validation) Server BD Guestbook messages: Hello Bien fait... <h1>guestbook messages:</h1> Hello<br> Bien fait<br> <script type="text/javascript">document.location.hr ef= id message 1 Hello 2 Bien fait... 3 <script type="text/javascript">docu ment.location.href= oteanu.com"</script> 28

29 Comment se protéger? Valider les données de l usager sur le serveur Web et/ou sur le serveur d applications limiter la taille de l entrée refuser les caractères spéciaux \ / ; - < > accepter seulement les caractères nécessaires Utiliser les SQL Stored Procedures Gérer les permissions sur la basé de données usagers, rôles, permissions Messages d erreur Vérifications Vérification des données usager (Input validation) 29

30 Comment vérifier si un site est vulnérable? Vérification des données usager (Input validation) Rien fait pour protéger -> probablement vulnérable Développé sans gestion de projet -> probablement vulnérable Outils automatiques Nikto Acunetix ($$) WebScarab Autres (http://sectools.org/web-scanners.html) 30

31 Phishing HAMEÇO AGE 31

32 Hameçonnage (Phishing) Server Web Faux Client malicieux Vous avez gagné 1 million. Connectez vous sur le site de la banque en cliquant sur https://www.desjard1ns.com Client légitime Internet Server Web Server BD Pare-feu Serveur d application 32

33 Comment se protéger? Hameçonnage (Phishing) Filtrer le spam Authentification du serveur Eduquer les utilisateurs 33

34 LOGIQUE DE L APPLICATIO 34

35 Logique de l application Chaque attaque est différente Exploite la logique de l application Difficile à détecter Exemples: Acheter un livre de -20$ Créer un million d usagers et écrire des messages Enlever le câble réseau au milieu d une partie d échec 35

36 CO CLUSIO S 36

37 Conclusions Attaques web très populaires Facile de créer une application vulnérable Validation des données usager Éducation des usagers Principe de sécurité de l oignon (layered security) 37

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

OWASP Top Ten 2007 Sommaire exécutif

OWASP Top Ten 2007 Sommaire exécutif OWASP Top Ten 2007 Sommaire exécutif Benoit Guerette, gueb@owasp.org Montreal Chapter Leader 24 février 2009 OWASP Education Project Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute

Plus en détail

La sécurisation d applications

La sécurisation d applications Université Toulouse 1 Sciences Sociales 10 mars 2008 Les firewalls ne suffisent plus Mais ont-ils jamais été suffisants? La protection à 100% n existe pas. De plus certains protocoles doivent absolument

Plus en détail

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1 La sécurité pour les développeurs Christophe Villeneuve @hellosct1 Qui... est Christophe Villeneuve? afup lemug.fr mysql mariadb drupal demoscene firefoxos drupagora phptour forumphp solutionlinux demoinparis

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

T. HSU Sécurité des programmes PHP

T. HSU Sécurité des programmes PHP Sécurité des programmes PHP T. HSU IUT de LENS, Département informatique November 13, 2012 Part I Introduction à PHP Fonctionnement 1 : Requète PHP 2 : Aller chercher la page MySQL Page PHP Moteur PHP

Plus en détail

Rapport de Cryptographie

Rapport de Cryptographie Cryptographie [MIF30] / Année 2008-2009 Rapport de Cryptographie Les Injections SQL Sylvie Tixier & François-Xavier Charlet Page 1 20/05/2009 Sommaire Introduction...3 Définition d une injection SQL...3

Plus en détail

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI Vulnérabilités logicielles Injection SQL Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1 Plan SQL Injection SQL Injections SQL standards Injections SQL de requêtes

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail

HACKFEST 2010 - SOLUTIONNAIRE WEBCTF [v.2]

HACKFEST 2010 - SOLUTIONNAIRE WEBCTF [v.2] HACKFEST 2010 - SOLUTIONNAIRE WEBCTF [v.2] Sommaire Sommaire... 1 Site 1 (L actuel)... 1 Prémisse... 2 01-Enregistrement Premium... 2 02-Captcha - Erreur de logique... 2 03-Soumission d article... 3 04-XSS

Plus en détail

Webmaster : Installation de l'incentive. Objet : Récupération du tag de rotation à placer sur une page de votre site.

Webmaster : Installation de l'incentive. Objet : Récupération du tag de rotation à placer sur une page de votre site. Webmaster : Installation de l'incentive Objet : Récupération du tag de rotation à placer sur une page de votre site. Connectez vous sur votre compte webmaster, puis cliquez dans le menu sur «Tag de diffusion»

Plus en détail

Sécurité d un site php

Sécurité d un site php Sensibilisation IUT de Fontainebleau 8 juin 2015 1 2 1 2 Enjeux L application manipulent-ils des données fiables? L application interagit-elle avec le bon interlocuteur? Le secret des données échangées

Plus en détail

Failles des applications Web. Ce document est extrait du travail de diplôme de M. DIZON dans l état.

Failles des applications Web. Ce document est extrait du travail de diplôme de M. DIZON dans l état. Failles des applications Web Ce document est extrait du travail de diplôme de M. DIZON dans l état. 1 Introduction...1 2 Contournement de validation javascript...2 2.1 Introduction...2 2.2 Principe de

Plus en détail

INF8420 Éléments de sécurité informatique Hiver 2008 TRAVAIL PRATIQUE 2 Prof. : José M. Fernandez

INF8420 Éléments de sécurité informatique Hiver 2008 TRAVAIL PRATIQUE 2 Prof. : José M. Fernandez INF8420 Éléments de sécurité informatique Hiver 2008 TRAVAIL PRATIQUE 2 Prof. : José M. Fernandez Directives : - La date de remise est Mercredi le 26 mars 2007 à 12h, *VOIR I STRUCTIO S DÉTAILLÉES DE REMISE

Plus en détail

PHP et mysql. Code: php_mysql. Olivier Clavel - Daniel K. Schneider - Patrick Jermann - Vivian Synteta Version: 0.9 (modifié le 13/3/01 par VS)

PHP et mysql. Code: php_mysql. Olivier Clavel - Daniel K. Schneider - Patrick Jermann - Vivian Synteta Version: 0.9 (modifié le 13/3/01 par VS) PHP et mysql php_mysql PHP et mysql Code: php_mysql Originaux url: http://tecfa.unige.ch/guides/tie/html/php-mysql/php-mysql.html url: http://tecfa.unige.ch/guides/tie/pdf/files/php-mysql.pdf Auteurs et

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

SSL. Secure Socket Layer. R. Kobylanski romain.kobylanski@inpg.fr. janvier 2005 - version 1.1 FC INPG. Protocole SSL Application avec stunnel

SSL. Secure Socket Layer. R. Kobylanski romain.kobylanski@inpg.fr. janvier 2005 - version 1.1 FC INPG. Protocole SSL Application avec stunnel SSL Secure Socket Layer R. Kobylanski romain.kobylanski@inpg.fr FC INPG janvier 2005 - version 1.1 1 Protocole SSL 2 SSL/TLS Encapsule des protocoles non sécurisés (HTTP IMAP...) dans une couche chiffrée

Plus en détail

Portage d application de Moodle 1.9 vers Moodle 2.x

Portage d application de Moodle 1.9 vers Moodle 2.x Portage d application de Moodle 1.9 vers Moodle 2.x Outils et recommandations à l usage des développeurs. Jean FRUITET Jean.fruitet@univ-nantes.fr Plan Plan Introduction 2 Les principaux i changements

Plus en détail

Attaques applicatives

Attaques applicatives Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites

Plus en détail

Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery (CSRF) TIW4-TP1 CSRF 1 Cross-Site Request Forgery (CSRF) Copyright c 2006-2010 Wenliang Du, Syracuse University. The development of this document is funded by the National Science Foundation s Course, Curriculum,

Plus en détail

TP JAVASCRIPT OMI4 TP5 SRC1 2011-2012

TP JAVASCRIPT OMI4 TP5 SRC1 2011-2012 TP JAVASCRIPT OMI4 TP5 SRC1 2011-2012 FORMULAIRE DE CONTACT POUR PORTFOLIO PRINCIPE GENERAL Nous souhaitons réaliser un formulaire de contact comprenant les champs suivants : NOM PRENOM ADRESSE MAIL MESSAGE

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

Extended communication server 4.1 : VoIP SIP service- Administration

Extended communication server 4.1 : VoIP SIP service- Administration Extended communication server 4.1 : VoIP SIP service- Administration Mai, 2008 Alcatel-Lucent Office Offer - All Rights Reserved Alcatel-Lucent 2007 Ce document explique comment configurer le Service VOIP-SIP

Plus en détail

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com. DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d

Plus en détail

SQL Parser XML Xquery : Approche de détection des injections SQL

SQL Parser XML Xquery : Approche de détection des injections SQL SQL Parser XML Xquery : Approche de détection des injections SQL Ramahefy T.R. 1, Rakotomiraho S. 2, Rabeherimanana L. 3 Laboratoire de Recherche Systèmes Embarqués, Instrumentation et Modélisation des

Plus en détail

SQL Server et Active Directory

SQL Server et Active Directory SQL Server et Active Directory Comment requêter AD depuis SQL Server Comment exécuter des requêtes de sélection sur un Active Directory depuis SQL Server? L'utilisation du principe des serveurs liés adapté

Plus en détail

PHP 5. Sécurité. et MySQL. 3 e édition. Damien Seguy Philippe Gamache. Préface de Rasmus Lerdorf

PHP 5. Sécurité. et MySQL. 3 e édition. Damien Seguy Philippe Gamache. Préface de Rasmus Lerdorf Sécurité PHP 5 3 e édition et MySQL Damien Seguy Philippe Gamache Préface de Rasmus Lerdorf Groupe Eyrolles, 2007, 2009, 2012, ISBN : 978-2-212-13339-4 206 Mesures de sécurité pour les technologies connexes

Plus en détail

Les failles de logique dans les applications Web

Les failles de logique dans les applications Web Victrix 4 secteurs d intervention Privilégiés Sécurité Solutions Applicatives Solutions d Infrastructure Réseaux &Télécommunication Patrick Chevalier CISSP, CISA, CSSLP, GIAC GSEC, CEH, SEC+ Conférences

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

OpenEdge Chiffrage avec SSL

OpenEdge Chiffrage avec SSL OpenEdge Chiffrage avec SSL Paul Koufalis Président Progresswiz Consulting Your logo here Progresswiz Informatique Offre de l expertise technique Progress, UNIX, Windows et plus depuis 1999 Spécialisé

Plus en détail

Defacing... nicolas.hernandez@univ-nantes.fr Sécurité 1

Defacing... nicolas.hernandez@univ-nantes.fr Sécurité 1 Defacing... nicolas.hernandez@univ-nantes.fr Sécurité 1 Defacing... nicolas.hernandez@univ-nantes.fr Sécurité 2 Sécurité Applications sécurisées Vulnérabilités des applications web Sécuriser la conception

Plus en détail

Instructions Mozilla Thunderbird Page 1

Instructions Mozilla Thunderbird Page 1 Instructions Mozilla Thunderbird Page 1 Instructions Mozilla Thunderbird Ce manuel est écrit pour les utilisateurs qui font déjà configurer un compte de courrier électronique dans Mozilla Thunderbird et

Plus en détail

Retour d'expérience sur le comportement des utilisateurs face à l'authentification web. CAS, Shibboleth, le phishing et autres espiègleries

Retour d'expérience sur le comportement des utilisateurs face à l'authentification web. CAS, Shibboleth, le phishing et autres espiègleries Retour d'expérience sur le comportement des utilisateurs face à l'authentification web CAS, Shibboleth, le phishing et autres espiègleries Jérôme Bousquié IUT de Rodez OSSIR -RéSIST Septembre 2012 - p

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise

Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise LIVRE BLANC Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise Adrian Ludwig Septembre 2005 Copyright 2005 Macromedia, Inc. Tous droits réservés. Les informations

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

SYSTÈMES D INFORMATIONS

SYSTÈMES D INFORMATIONS SYSTÈMES D INFORMATIONS Développement Modx Les systèmes de gestion de contenu Les Content Management Système (CMS) servent à simplifier le développement de sites web ainsi que la mise à jour des contenus.

Plus en détail

Définition des Webservices Systempay. Version 1.2c

Définition des Webservices Systempay. Version 1.2c Définition des Webservices Systempay Version 1.2c Historique du document Version Auteur Date Commentaires 1.2c Lyra-Network 06/12/2013 1.2b Lyra-Network 10/07/2013 1.2a Lyra-Network 03/05/2012 Modification

Plus en détail

Failles web : Les bases

Failles web : Les bases Failles utilisant les sites web comme support Ciblant soit les serveurs soit les visiteurs Dangereuses car simples à assimiler Objectifs : Vol de données Défaçage Rendre indisponible un site Utiliser le

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

1. Formation F5 - Local Traffic Manager Configuring (LTM)

1. Formation F5 - Local Traffic Manager Configuring (LTM) Description F5 F5 Networks, Inc. (NASDAQ: FFIV) est une entreprise informatique américaine fondée en 1996 établie à Seattle qui commercialise des équipements réseau. Dans les années 1990, la société a

Plus en détail

Bases de données Oracle Virtual Private Database (VPD) pour la gestion des utilisateurs d applications

Bases de données Oracle Virtual Private Database (VPD) pour la gestion des utilisateurs d applications Bases de données Oracle Virtual Private Database (VPD) pour la gestion des utilisateurs d applications P.-A. Sunier, HEG-Arc Neuchâtel avec le concours de J. Greub pierre-andre.sunier@he-arc.ch http://lgl.isnetne.ch/

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Alex Auvolat, Nissim Zerbib 4 avril 2014 Alex Auvolat, Nissim Zerbib Sécurité des systèmes informatiques 1 / 43 Introduction La sécurité est une chaîne : elle est aussi

Plus en détail

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...

Plus en détail

PHP 4 PARTIE : BASE DE DONNEES

PHP 4 PARTIE : BASE DE DONNEES PHP 4 PARTIE : BASE DE DONNEES 1. Introduction 2. Présentation de MySQL 3. Principe 4. Connexion 5. Interrogation 6. Extraction des données 7. Fonctions de services 8. Traitement des erreurs 9. Travaux

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Techniques actuelles d'attaque IP

Techniques actuelles d'attaque IP Mélée Numérique 18 mars 2003 Techniques actuelles d'attaque IP 8 années d'expérience en test d'intrusion Stéphane Aubert Stephane.Aubert@hsc.fr Hervé Schauer Consultants 1 Hervé Schauer Consultants Cabinet

Plus en détail

Stockage du fichier dans une table mysql:

Stockage du fichier dans une table mysql: Stockage de fichiers dans des tables MYSQL avec PHP Rédacteur: Alain Messin CNRS UMS 2202 Admin06 30/06/2006 Le but de ce document est de donner les principes de manipulation de fichiers dans une table

Plus en détail

PHP & BD. PHP & Bases de données. Logiciels & matériels utilisés. Bases de données et Web

PHP & BD. PHP & Bases de données. Logiciels & matériels utilisés. Bases de données et Web PHP & Bases de données La quantité de données utilisée par certains sites web nécessite l'utilisation d'une base de données Il faut donc disposer d'un SGBD (mysql, postgresql, oracle, ) installé sur un

Plus en détail

PPE 3.1.b. Gestion des frais : Mode d'emplois de l'application GSB Fiche de Frais ITIN BTS SIO A2 AUBRUN - HUERTAS - LE MEUT - RIDEAU

PPE 3.1.b. Gestion des frais : Mode d'emplois de l'application GSB Fiche de Frais ITIN BTS SIO A2 AUBRUN - HUERTAS - LE MEUT - RIDEAU ITIN BTS SIO A2 PPE 3.1.b Gestion des frais : Mode d'emplois de l'application GSB Fiche de Frais AUBRUN - HUERTAS - LE MEUT - RIDEAU 1 Sommaire I- Arborescence des Forms... 3 II- Diagramme de classe...

Plus en détail

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Sécurité des bases de données Nicolas Jombart Alain Thivillon HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des bases de données Nicolas Jombart Alain Thivillon Place

Plus en détail

How to Login to Career Page

How to Login to Career Page How to Login to Career Page BASF Canada July 2013 To view this instruction manual in French, please scroll down to page 16 1 Job Postings How to Login/Create your Profile/Sign Up for Job Posting Notifications

Plus en détail

OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications

OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas

Plus en détail

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Bienvenue Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Contexte 2 Agenda 1 Présentation de la Blade Application Control: catégorisation, Appwiki 2 Interfaçage avec la Blade

Plus en détail

Web Application Firewalls (WAF)

Web Application Firewalls (WAF) Web Application Firewalls (WAF) Forum CERT-IST Paris le 9 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright 2009 - The OWASP Foundation Permission is granted to copy,

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Pratique et administration des systèmes

Pratique et administration des systèmes Université Louis Pasteur Licence Informatique (L2) UFR de Mathématiques et Informatique Année 2007/2008 1 But du TP Pratique et administration des systèmes TP10 : Technologie LAMP Le but de ce TP est de

Plus en détail

Programmation des Sites Web

Programmation des Sites Web Programmation des Sites Web Deuxième Année ENSIMAG ENSIMAG 2000-2001 James L. Crowley Séance 3 20 octobre 2000 Plan : JavaScript...2 Qu'est que Java Script...2 Messages de Alert...4 Fonctions...5 Ouverture

Plus en détail

Configurer la supervision pour une base MS SQL Server Viadéis Services

Configurer la supervision pour une base MS SQL Server Viadéis Services Configurer la supervision pour une base MS SQL Server Référence : 11588 Version N : 2.2 : Créé par : Téléphone : 0811 656 002 Sommaire 1. Création utilisateur MS SQL Server... 3 2. Configuration de l accès

Plus en détail

PHP PHP PHP PHP. Récupération des données d'un formulaire. Syntaxe

PHP PHP PHP PHP. Récupération des données d'un formulaire. Syntaxe Lionel Seinturier Programme s'exécutant côté serveur Web du code embarqué dans une page HTML entre les balises extension.php pour les pages les fichiers.php sont stockés sur le serveur (comme des

Plus en détail

Module FMIN358 Technologies du Web : PHP objet et couches d accès aux bases de données

Module FMIN358 Technologies du Web : PHP objet et couches d accès aux bases de données Module FMIN358 Technologies du Web : PHP objet et couches d accès aux bases de données 1. Exploiter une couche métier objet PHP prend en charge certains des grands principes du paradigme objet (héritage,

Plus en détail

OUTIL DE TRAVAIL COLLABORATIF

OUTIL DE TRAVAIL COLLABORATIF B i b l i o t h è q u e OUTIL DE TRAVAIL COLLABORATIF Septembre 2012 TitanPad est un outil de travail collaboratif permettant de prendre des notes ou de rédiger à plusieurs un même texte à distance en

Plus en détail

Modèle-Vue-Contrôleur. Développement Web 2. Projet 1 Sondages. Organisation générale

Modèle-Vue-Contrôleur. Développement Web 2. Projet 1 Sondages. Organisation générale PHP Modèle-Vue-Contrôleur Introduction Modèle-Vue-Contrôleur Développement Web 2 Bertrand Estellon Aix-Marseille Université April 1, 2014 Le Modèle-Vue-Contrôleur (MVC) est un méthode de conception utilisée

Plus en détail

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling Gabriel Corvalan Cornejo Gaëtan Podevijn François Santy 13 décembre 2010 1 Modélisation et récolte d information du système 1.1 Information

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON Sécurité des usages du WEB Pierre DUSART Damien SAUVERON Résumé Contenu : Nous nous intéresserons à expliquer les solutions pertinentes pour établir la confiance en un site WEB en termes de sécurité, notamment

Plus en détail

ESUP Portail. ESUP Portail Un ENT universitaire! Contexte. Objectifs d ESUP Portail. Grandes orientations technologiques

ESUP Portail. ESUP Portail Un ENT universitaire! Contexte. Objectifs d ESUP Portail. Grandes orientations technologiques ESUP Portail Un ENT universitaire! ESUP Portail Présentation générale du projet Jean-Michel Antoine Jean-Guy Avelin Raymond Bourges Architecture Intégration au SI de l établissement Développement de canaux

Plus en détail

RIZIV INAMI. Guide eid pour Mac

RIZIV INAMI. Guide eid pour Mac RIZIV INAMI Guide eid pour Mac 1 Contenu 1. Introduction... 3 2. Installation du programme/middleware eid... 3 2.1 Etape 1... 4 2.2 Etape 2... 5 2.3 Etape 3... 5 3. Configuration du Navigateur... 5 3.1

Plus en détail

Installation xampp et configuration Postfix sur Ubuntu pour Oscommerce. partie 1

Installation xampp et configuration Postfix sur Ubuntu pour Oscommerce. partie 1 Installation xampp et configuration Postfix sur Ubuntu pour Oscommerce. partie 1 Ce tuto vous permettra d'installer xampp et de le configurer pour faire tourner oscommerce sur linux ubuntu. Je ferais ici

Plus en détail

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates! Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des

Plus en détail

CREATION WEB DYNAMIQUE

CREATION WEB DYNAMIQUE CREATION WEB DYNAMIQUE IV ) MySQL IV-1 ) Introduction MYSQL dérive directement de SQL (Structured Query Language) qui est un langage de requêtes vers les bases de données relationnelles. Le serveur de

Plus en détail

Mysql avec EasyPhp. 1 er mars 2006

Mysql avec EasyPhp. 1 er mars 2006 Mysql avec EasyPhp 1 er mars 2006 Introduction MYSQL dérive directement de SQL (Structured Query Language) qui est un langage de requètes vers les bases de données relationnelles. Il en reprend la syntaxe

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Forum AFUP 2003 Sécurité PHP Alain Thivillon Alain Thivillon

Plus en détail

Le piratage: À la portée de tout le monde? 2010 Michel Cusin 1

Le piratage: À la portée de tout le monde? 2010 Michel Cusin 1 Le piratage: À la portée de tout le monde? 2010 Michel Cusin 1 Agenda de la présentation Les attaquants et leurs motivations Les différentes provenances et sortes d attaques Les étapes d une attaque Les

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

La programmation orientée objet Gestion de Connexions HTTP Manipulation de fichiers Transmission des données PHP/MySQL. Le langage PHP (2)

La programmation orientée objet Gestion de Connexions HTTP Manipulation de fichiers Transmission des données PHP/MySQL. Le langage PHP (2) Le langage PHP (2) Walid Belkhir Université de Provence belkhir@cmi.univ-mrs.fr http://www.lif.univ-mrs.fr/ belkhir/ 1 / 54 1 La programmation orientée objet 2 Gestion de Connexions HTTP 3 Manipulation

Plus en détail

Installation d'un serveur RADIUS

Installation d'un serveur RADIUS Installation d'un serveur RADIUS Par LoiselJP Le 22/05/2013 1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, de créer un serveur Radius. L installation ici proposée

Plus en détail

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP HTTP TP HTTP Master IC 2 A 2014/2015 Christian Bulfone / Jean-Michel Adam 1/11 Câblage et configuration du réseau

Plus en détail

Partie I : Créer la base de données. Année universitaire 2008/2009 Master 1 SIIO Projet Introduction au Décisionnel, Oracle

Partie I : Créer la base de données. Année universitaire 2008/2009 Master 1 SIIO Projet Introduction au Décisionnel, Oracle Année universitaire 2008/2009 Master 1 SIIO Projet Introduction au Décisionnel, Oracle Ce projet comporte trois parties sur les thèmes suivants : création de base de donnée, requêtes SQL, mise en œuvre

Plus en détail

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install Albéric ALEXANDRE 1 Contenu 1. Introduction... 2 2. Prérequis... 2 3. Configuration du serveur... 2 a. Installation de Network Policy Server... 2 b. Configuration de Network Policy Server... 2 4. Configuration

Plus en détail

Paris Airports - Web API Airports Path finding

Paris Airports - Web API Airports Path finding Paris Airports - Web API Airports Path finding Hackathon A660 Version Version Date writer Comment 1.0 19/05/2015 Olivier MONGIN Document creation Rédacteur : Olivier.MONGIN@adp.fr Date : 19/05/2015 Approbateur

Plus en détail

JACi400 Génération & JACi400 Développement

JACi400 Génération & JACi400 Développement JACi400 Génération & JACi400 Développement Une solution pour développer rapidement des applications WebSphere pour votre iseries directement en RPG ou Cobol. "After spending time with SystemObjects and

Plus en détail

Module BD et sites WEB

Module BD et sites WEB Module BD et sites WEB Cours 8 Bases de données et Web Anne Doucet Anne.Doucet@lip6.fr 1 Le Web Architecture Architectures Web Client/serveur 3-tiers Serveurs d applications Web et BD Couplage HTML-BD

Plus en détail

Déploiement de l infrastructure SOA. Retour d expérience Août 2013

Déploiement de l infrastructure SOA. Retour d expérience Août 2013 1 Déploiement de l infrastructure SOA Retour d expérience Août 2013 Agenda Contexte et constats Existant chez PSA Cible du chantier SOA Passerelle de sécurisation des services Les offres de service de

Plus en détail

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel. Environnement des outils de gestion Comme nous allons utiliser principalement des outils orientés Web pour la gestion de notre domaine, pour que ceux-ci fonctionnent autant sous Windows que sous Linux,

Plus en détail

THE JOHN LYON SCHOOL. MODERN LANGUAGES DEPARTMENT 13+ ENTRANCE EXAMINATION January 2011

THE JOHN LYON SCHOOL. MODERN LANGUAGES DEPARTMENT 13+ ENTRANCE EXAMINATION January 2011 THE JOHN LYON SCHOOL MODERN LANGUAGES DEPARTMENT 13+ ENTRANCE EXAMINATION January 2011 Section 1: Reading (20 mins) Section 2: Writing (25 mins) Important: Answer all the questions on the question paper

Plus en détail

EXIGENCES TECHNIQUES DE SECURITE

EXIGENCES TECHNIQUES DE SECURITE EXIGENCES TECHNIQUES DE SECURITE DEVELOPPEMENT D'APPLICATIONS ANDROID ET IOS MARDI 9 JUIN 2015 - VERSION 1.1 VERSION : 1.1 - RÉF. : ###################### SOMMAIRE Contenu DEFINITIONS 4 EXIGENCES TECHNIQUES

Plus en détail

Les procédures stockées et les fonctions utilisateur

Les procédures stockées et les fonctions utilisateur Les procédures stockées et les fonctions utilisateur Z Grégory CASANOVA 2 Les procédures stockées et les fonctions utilisateur [08/07/09] Sommaire 1 Introduction... 3 2 Pré-requis... 4 3 Les procédures

Plus en détail

Installation de Smokeping sur Debian

Installation de Smokeping sur Debian Installation de Smokeping sur Debian SOMMAIRE 1 Installation 2 Configuration 3 Lancement SmokePing est un logiciel libre et opensource écrit en Perl par Tobi Oetiker, le créateur de MRTG et RRDtool il

Plus en détail

PHP et MySQL : notions de sécurité

PHP et MySQL : notions de sécurité PHP et MySQL : notions de sécurité Jean-Baptiste.Vioix@u-bourgogne.fr Dans ces quelques lignes des notions de sécurité élémentaires vont être présentées. Elles sont insuffisantes pour toute application

Plus en détail

BeEF : Browser Exploitation Framework

BeEF : Browser Exploitation Framework BeEF : Browser Exploitation Framework 18 Presented by Etienne Maynier # whoami Pentest / audit sécurité Intéressé par l exploitation, la sécurité Web, le fuzzing, la sécurité réseau Participation à des

Plus en détail