Connexion
S'inscrire
Actualités
Quoi de neuf
Activités générales
Auteurs
Forums
Nouveaux messages
Rechercher un forum
Quoi de neuf
Nouveaux messages
Nouveaux messages de profil
Activités générales
Membres
Membres inscrits
Visiteurs actuels
Nouveaux messages de profil
Rechercher dans les messages des profils
Teams
Créé ton équipe
Quoi de neuf ?
Nouveaux messages
Rechercher un forum
Menu
Connexion
S'inscrire
Install the app
Install
Forums
Forums généraux
Informatique
Comment combler les failles de sécurité web les plus courantes ? (3.0)
JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
Vous utilisez un navigateur non à jour ou ancien. Il ne peut pas afficher ce site ou d'autres sites correctement.
Vous devez le mettre à jour ou utiliser un
navigateur alternatif
.
Répondre à la discussion
Message
<blockquote data-quote="Rivals" data-source="post: 7319971" data-attributes="member: 694298"><p style="text-align: center"><span style="font-family: 'Ubuntu'"><span style="color: rgb(44,130,201)"><span style="font-size: 15px">[FA]fa-3x fa-border fa-user-secret[/FA]</span></span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="color: rgb(44,130,201)"><span style="font-family: 'Ubuntu'"><strong><span style="font-size: 22px">Comment combler les failles de sécurité web les plus courantes ? (3.0)</span></strong></span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-family: 'Ubuntu'">Bonjour à tous, nous nous retrouvons pour la <strong><span style="color: rgb(44,130,201)">3ème édition </span></strong>du sujet « <strong><span style="color: rgb(44,130,201)">Comment combler les failles de sécurité web les plus courantes</span></strong> » et la dernière.</span></p> <p style="text-align: center"></p><p><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(44,130,201)">[FA]fa-border fa-sync[/FA] FAILLE IDOR</span></strong></span></p><p></p><p><span style="font-family: 'Ubuntu'">Dans un premier temps je vais vous parler <strong><span style="color: rgb(44,130,201)">des failles de type IDOR</span></strong>, ce type de failles consiste à accéder à une ressource dont vous ne devriez pas avoir accès en modifiant un paramètre de type entier. Ce paramètre correspond à l’identifiant de la ressource, par exemple<strong><span style="color: rgb(44,130,201)"> sur RealityGaming un sujet dispose d’un identifiant unique qui permet au système de récupérer le contenu de ce sujet, les réponses associées ainsi que l’auteur</span></strong>. <img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="smilie smilie--sprite smilie--sprite351" alt=";)" title="Clin d'oeil ;)" loading="lazy" data-shortname=";)" /></span></p><p></p><p><span style="color: rgb(44,130,201)"><span style="font-family: 'Ubuntu'">[FA]fa-border fa-link[/FA] <a href="https://reality-gaming.fr/threads/" target="_blank">https://reality-gaming.fr/threads/</a></span></span><span style="color: rgb(0,168,133)"><span style="font-family: 'Ubuntu'">{TITRE_DU_SUJET}</span></span><span style="color: rgb(44,130,201)"><span style="font-family: 'Ubuntu'">.</span></span><span style="color: rgb(226,80,65)"><span style="font-family: 'Ubuntu'">{IDENTIFIANT_DU_SUJET}</span></span></p><p></p><p><span style="font-family: 'Ubuntu'"><span style="color: rgb(226,80,65)">{IDENTIFIANT_DU_SUJET}</span> est le paramètre qui pourrait être modifiée, <strong><span style="color: rgb(0,168,133)">en informatique il est très récurrent et nécessaire de se référencer un chiffre</span></strong> pour une ressource les chaines de caractères ne permettent pas ceci, vous pouvez vous même observer ceci en modifiant le titre du sujet dans l’URL de celui-ci vous verrez que cela ne pose pas de problèmes en revanche si vous modifiez l’identifiant du sujet ce ne sera pas la même histoire.</span></p><p></p><p><span style="font-family: 'Ubuntu'">Imaginez un instant que l’on puisse accéder à des sujets présents dans des sections secrètes et ceci en modifiant l’identifiant du sujet ?<strong><span style="color: rgb(226,80,65)"> Cela pose un problème de sécurité [FA]fa-warning[/FA]</span></strong> notamment lorsque vous êtes responsable des données de vos utilisateurs.</span></p><p></p><p><span style="font-family: 'Ubuntu'">J’ai vu ce type de failles sur beaucoup de sites e-commerce et notamment sur des pages du type facture ou bon de commande sur lesquelles des données personnelles sont affichées (nom & prénom, adresse, adresse mail etc.).</span></p><p></p><p style="margin-left: 20px"><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(97,189,109)">[FA]fa-border fa-check[/FA] CORRECTION </span></strong></span></p><p></p><p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Pour palier à cette faille de sécurité il faut bien se poser cette question et de manière très précise : <strong><span style="color: rgb(97,189,109)">qui a accès à ce contenu et quand ?</span></strong> </span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(243,121,52)">Chaque fonctionnalité doit répondre à un besoin d’un utilisateur dans un cadre et un moment donné.</span></strong></span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Pour la petite anecdote j’ai découvert une faille de ce type sur le site d’une grande société que l’on connait tous, cette faille exposait les informations personnelles (nom & prénom, adresse mail personnelle, adresse précise) de pas moins de <strong>150’000 employés</strong> soit la totalité des employés. Ce type de faille peut permettre également des accès frauduleux à des ressources, dans le cas précédent il était possible d’accéder à la page d’édition d’un profil employé et ainsi modifier son mot de passe.</span></p> <p style="margin-left: 20px"></p><p><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(44,130,201)">[FA]fa-border fa-gg[/FA] <span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(44,130,201)">MISE A JOUR DE SECURITE NON EFFECTUEE</span></strong></span></span></strong></span></p><p></p><p><span style="font-family: 'Ubuntu'">Elles peuvent être récurrentes, longues et parfois poser des problèmes, les mises à jour sont très importantes notamment lorsqu’elles permettent de corriger des problèmes de sécurité qui peuvent vous mettre en danger que ce soit vous ou vos utilisateurs. </span></p><p></p><p><span style="font-family: 'Ubuntu'">Prenons l’exemple d’une mise à jour récente de Drupal (un CMS permettant de créer des sites web) qui a fixé un problème de sécurité majeure puisque sans elle n’importe quel visiteur pouvait prendre le contrôle du serveur sur lequel était hébergé votre site web. </span></p><p></p><p><span style="font-family: 'Ubuntu'">Des milliers de sites web ont été pris pour cible par des robots chargés d’exploiter cette vulnérabilité et résultat des milliers de sites web ont été piratés pour différente raisons : miner des cryptomonnaies, récupérer les données et les revendre, utiliser le serveur cible comme zombie pour construire un réseau de DDoS.</span></p><p></p><p style="margin-left: 20px"><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(97,189,109)">[FA]fa-border fa-check[/FA] CORRECTION </span></strong></span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Il n’y a rien de plus simple, il suffit de <span style="color: rgb(97,189,109)"><strong><u>vous informer et mettre à jour</u></strong></span> vos systèmes d’exploitations, votre CMS, vos plugins ou encore vos logiciels pour être sûr que vous possédez une version logicielle stable et sécurisée. </span></p><p></p><p><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(44,130,201)">[FA]fa-border fa-gg[/FA] REFERENCEMENT DE PAGES SENSIBLES</span></strong></span></p><p></p><p><span style="font-family: 'Ubuntu'">Les moteurs de recherche sont une jungle dans laquelle il est possible de trouver des documents sensibles ou des pages qui ne devraient pas être public. Elle rejoint la faille de type IDOR puisque le combo des deux est souvent présent sur le web notamment comme je l’ai dis lorsqu’un site e-commerce n’indique pas aux robots d’indexation qu’il ne faut pas indexer les pages du type facture, bons de commande etc.</span></p><p></p><p style="text-align: center"><span style="font-family: 'Ubuntu'">[ATTACH=full]116170[/ATTACH]</span></p><p></p><p style="margin-left: 20px"><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(97,189,109)">[FA]fa-border fa-check[/FA] CORRECTION </span></strong></span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Pour corriger ce type de problèmes <strong><span style="color: rgb(97,189,109)">il suffit de renseigner ce type de pages dans le fichier robots.txt</span></strong> à la racine de votre site web pour indiquer aux robots d’indexation de ne pas indexer les pages que vous aurez renseigné, c’est très simple et cela permet d’éviter notamment des fuites de données.</span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px">[CODE]User-Agent: *[/INDENT][/INDENT]</p> <p style="margin-left: 20px">[INDENT][INDENT]Disallow: /facture.php?id=*[/CODE]</p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Egalement, je vous conseille d'ajouter <strong>une meta spécifique</strong> pour indiquer qu'il ne faut pas référencer la page en question.</span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px">[CODE=html]<head>[/INDENT][/INDENT]</p> <p style="margin-left: 20px">[INDENT][INDENT]<meta name="robots" content="noindex,nofollow"/>[/INDENT][/INDENT]</p> <p style="margin-left: 20px">[INDENT][INDENT]</head>[/CODE]</p> <p style="margin-left: 20px"></p><p><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(44,130,201)">[FA]fa-border fa-gg[/FA] UTILISATION DES MOTS DE PASSE PAR DEFAUT</span></strong></span></p><p></p><p><span style="font-family: 'Ubuntu'">Lorsque vous utilisez des solutions ou des technologies pour votre site web il n’est pas rare de retrouver<strong><span style="color: rgb(226,80,65)"> un utilisateur administrateur par défaut et c’est quelque chose qu’il faut absolument éviter</span></strong>, il n’est pas rare de voir ce genre de cas pour des appareils électroniques je pense notamment à des caméras de surveillance qui font souvent l’objet de piratage car le mot de passe utilisé n’a pas été changée depuis l’installation de celle-ci.</span></p><p></p><p style="margin-left: 20px"><span style="font-family: 'Ubuntu'"><strong><span style="color: rgb(97,189,109)">[FA]fa-border fa-check[/FA] CORRECTION </span></strong></span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Ainsi, lorsque vous vous retrouvez face à la situation d’un utilisateur ou d’un mot de passe par défaut <strong><span style="color: rgb(97,189,109)">changez immédiatement le mot de passe ainsi sur le pseudonyme si il en est question</span></strong>.</span></p> <p style="margin-left: 20px"></p> <p style="margin-left: 20px"><span style="font-family: 'Ubuntu'">Evitez un mot de passe encore une fois personnel, préférez l’utilisation d’<strong><span style="color: rgb(97,189,109)">un gestionnaire de mot de passe</span></strong> qui vous permettra de générer <u><strong>un mot de passe robuste</strong></u> contre le brute force.</span></p> <p style="margin-left: 20px"></p><p><span style="font-family: 'Ubuntu'">J’espère que cette troisième édition vous aura plût et n’hésitez pas à poser des questions via les commentaires. <img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="smilie smilie--sprite smilie--sprite355" alt=":)" title=":) :)" loading="lazy" data-shortname=":)" /></span></p><p></p><p><span style="font-family: 'Ubuntu'">Bonne journée,</span></p><p><span style="font-family: 'Ubuntu'"><em>Rivals</em></span></p></blockquote><p></p>
[QUOTE="Rivals, post: 7319971, member: 694298"] [CENTER][FONT=Ubuntu][COLOR='rgb(44,130,201)'][SIZE=4][FA]fa-3x fa-border fa-user-secret[/FA][/SIZE][/COLOR][/FONT] [COLOR='rgb(44,130,201)'][FONT=Ubuntu][B][SIZE=6]Comment combler les failles de sécurité web les plus courantes ? (3.0)[/SIZE][/B][/FONT][/COLOR] [FONT=Ubuntu]Bonjour à tous, nous nous retrouvons pour la [B][COLOR='rgb(44,130,201)']3ème édition [/COLOR][/B]du sujet « [B][COLOR='rgb(44,130,201)']Comment combler les failles de sécurité web les plus courantes[/COLOR][/B] » et la dernière.[/FONT] [/CENTER] [FONT=Ubuntu][B][COLOR='rgb(44,130,201)'][FA]fa-border fa-sync[/FA] FAILLE IDOR[/COLOR][/B][/FONT] [FONT=Ubuntu]Dans un premier temps je vais vous parler [B][COLOR='rgb(44,130,201)']des failles de type IDOR[/COLOR][/B], ce type de failles consiste à accéder à une ressource dont vous ne devriez pas avoir accès en modifiant un paramètre de type entier. Ce paramètre correspond à l’identifiant de la ressource, par exemple[B][COLOR='rgb(44,130,201)'] sur RealityGaming un sujet dispose d’un identifiant unique qui permet au système de récupérer le contenu de ce sujet, les réponses associées ainsi que l’auteur[/COLOR][/B]. ;)[/FONT] [COLOR='rgb(44,130,201)'][FONT=Ubuntu][FA]fa-border fa-link[/FA] [URL]https://reality-gaming.fr/threads/[/URL][/FONT][/COLOR][COLOR='rgb(0,168,133)'][FONT=Ubuntu]{TITRE_DU_SUJET}[/FONT][/COLOR][COLOR='rgb(44,130,201)'][FONT=Ubuntu].[/FONT][/COLOR][COLOR='rgb(226,80,65)'][FONT=Ubuntu]{IDENTIFIANT_DU_SUJET}[/FONT][/COLOR] [FONT=Ubuntu][COLOR='rgb(226,80,65)']{IDENTIFIANT_DU_SUJET}[/COLOR] est le paramètre qui pourrait être modifiée, [B][COLOR='rgb(0,168,133)']en informatique il est très récurrent et nécessaire de se référencer un chiffre[/COLOR][/B] pour une ressource les chaines de caractères ne permettent pas ceci, vous pouvez vous même observer ceci en modifiant le titre du sujet dans l’URL de celui-ci vous verrez que cela ne pose pas de problèmes en revanche si vous modifiez l’identifiant du sujet ce ne sera pas la même histoire.[/FONT] [FONT=Ubuntu]Imaginez un instant que l’on puisse accéder à des sujets présents dans des sections secrètes et ceci en modifiant l’identifiant du sujet ?[B][COLOR='rgb(226,80,65)'] Cela pose un problème de sécurité [FA]fa-warning[/FA][/COLOR][/B] notamment lorsque vous êtes responsable des données de vos utilisateurs.[/FONT] [FONT=Ubuntu]J’ai vu ce type de failles sur beaucoup de sites e-commerce et notamment sur des pages du type facture ou bon de commande sur lesquelles des données personnelles sont affichées (nom & prénom, adresse, adresse mail etc.).[/FONT] [INDENT][FONT=Ubuntu][B][COLOR='rgb(97,189,109)'][FA]fa-border fa-check[/FA] CORRECTION [/COLOR][/B][/FONT][/INDENT] [INDENT][FONT=Ubuntu]Pour palier à cette faille de sécurité il faut bien se poser cette question et de manière très précise : [B][COLOR='rgb(97,189,109)']qui a accès à ce contenu et quand ?[/COLOR][/B] [/FONT][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu][B][COLOR='rgb(243,121,52)']Chaque fonctionnalité doit répondre à un besoin d’un utilisateur dans un cadre et un moment donné.[/COLOR][/B][/FONT][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu]Pour la petite anecdote j’ai découvert une faille de ce type sur le site d’une grande société que l’on connait tous, cette faille exposait les informations personnelles (nom & prénom, adresse mail personnelle, adresse précise) de pas moins de [B]150’000 employés[/B] soit la totalité des employés. Ce type de faille peut permettre également des accès frauduleux à des ressources, dans le cas précédent il était possible d’accéder à la page d’édition d’un profil employé et ainsi modifier son mot de passe.[/FONT][/INDENT] [INDENT][/INDENT] [FONT=Ubuntu][B][COLOR='rgb(44,130,201)'][FA]fa-border fa-gg[/FA] [FONT=Ubuntu][B][COLOR='rgb(44,130,201)']MISE A JOUR DE SECURITE NON EFFECTUEE[/COLOR][/B][/FONT][/COLOR][/B][/FONT] [FONT=Ubuntu]Elles peuvent être récurrentes, longues et parfois poser des problèmes, les mises à jour sont très importantes notamment lorsqu’elles permettent de corriger des problèmes de sécurité qui peuvent vous mettre en danger que ce soit vous ou vos utilisateurs. [/FONT] [FONT=Ubuntu]Prenons l’exemple d’une mise à jour récente de Drupal (un CMS permettant de créer des sites web) qui a fixé un problème de sécurité majeure puisque sans elle n’importe quel visiteur pouvait prendre le contrôle du serveur sur lequel était hébergé votre site web. [/FONT] [FONT=Ubuntu]Des milliers de sites web ont été pris pour cible par des robots chargés d’exploiter cette vulnérabilité et résultat des milliers de sites web ont été piratés pour différente raisons : miner des cryptomonnaies, récupérer les données et les revendre, utiliser le serveur cible comme zombie pour construire un réseau de DDoS.[/FONT] [INDENT][FONT=Ubuntu][B][COLOR='rgb(97,189,109)'][FA]fa-border fa-check[/FA] CORRECTION [/COLOR][/B][/FONT][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu]Il n’y a rien de plus simple, il suffit de [COLOR='rgb(97,189,109)'][B][U]vous informer et mettre à jour[/U][/B][/COLOR] vos systèmes d’exploitations, votre CMS, vos plugins ou encore vos logiciels pour être sûr que vous possédez une version logicielle stable et sécurisée. [/FONT][/INDENT] [FONT=Ubuntu][B][COLOR='rgb(44,130,201)'][FA]fa-border fa-gg[/FA] REFERENCEMENT DE PAGES SENSIBLES[/COLOR][/B][/FONT] [FONT=Ubuntu]Les moteurs de recherche sont une jungle dans laquelle il est possible de trouver des documents sensibles ou des pages qui ne devraient pas être public. Elle rejoint la faille de type IDOR puisque le combo des deux est souvent présent sur le web notamment comme je l’ai dis lorsqu’un site e-commerce n’indique pas aux robots d’indexation qu’il ne faut pas indexer les pages du type facture, bons de commande etc.[/FONT] [CENTER][FONT=Ubuntu][ATTACH=full]116170[/ATTACH][/FONT][/CENTER] [INDENT][FONT=Ubuntu][B][COLOR='rgb(97,189,109)'][FA]fa-border fa-check[/FA] CORRECTION [/COLOR][/B][/FONT][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu]Pour corriger ce type de problèmes [B][COLOR='rgb(97,189,109)']il suffit de renseigner ce type de pages dans le fichier robots.txt[/COLOR][/B] à la racine de votre site web pour indiquer aux robots d’indexation de ne pas indexer les pages que vous aurez renseigné, c’est très simple et cela permet d’éviter notamment des fuites de données.[/FONT][/INDENT] [INDENT][/INDENT] [INDENT][CODE]User-Agent: *[/INDENT][/INDENT] [INDENT][INDENT]Disallow: /facture.php?id=*[/CODE][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu]Egalement, je vous conseille d'ajouter [B]une meta spécifique[/B] pour indiquer qu'il ne faut pas référencer la page en question.[/FONT][/INDENT] [INDENT][/INDENT] [INDENT][CODE=html]<head>[/INDENT][/INDENT] [INDENT][INDENT]<meta name="robots" content="noindex,nofollow"/>[/INDENT][/INDENT] [INDENT][INDENT]</head>[/CODE][/INDENT] [INDENT][/INDENT] [FONT=Ubuntu][B][COLOR='rgb(44,130,201)'][FA]fa-border fa-gg[/FA] UTILISATION DES MOTS DE PASSE PAR DEFAUT[/COLOR][/B][/FONT] [FONT=Ubuntu]Lorsque vous utilisez des solutions ou des technologies pour votre site web il n’est pas rare de retrouver[B][COLOR='rgb(226,80,65)'] un utilisateur administrateur par défaut et c’est quelque chose qu’il faut absolument éviter[/COLOR][/B], il n’est pas rare de voir ce genre de cas pour des appareils électroniques je pense notamment à des caméras de surveillance qui font souvent l’objet de piratage car le mot de passe utilisé n’a pas été changée depuis l’installation de celle-ci.[/FONT] [INDENT][FONT=Ubuntu][B][COLOR='rgb(97,189,109)'][FA]fa-border fa-check[/FA] CORRECTION [/COLOR][/B][/FONT][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu]Ainsi, lorsque vous vous retrouvez face à la situation d’un utilisateur ou d’un mot de passe par défaut [B][COLOR='rgb(97,189,109)']changez immédiatement le mot de passe ainsi sur le pseudonyme si il en est question[/COLOR][/B].[/FONT][/INDENT] [INDENT][/INDENT] [INDENT][FONT=Ubuntu]Evitez un mot de passe encore une fois personnel, préférez l’utilisation d’[B][COLOR='rgb(97,189,109)']un gestionnaire de mot de passe[/COLOR][/B] qui vous permettra de générer [U][B]un mot de passe robuste[/B][/U] contre le brute force.[/FONT][/INDENT] [INDENT][/INDENT] [FONT=Ubuntu]J’espère que cette troisième édition vous aura plût et n’hésitez pas à poser des questions via les commentaires. :)[/FONT] [FONT=Ubuntu]Bonne journée, [I]Rivals[/I][/FONT] [/QUOTE]
Insérer les citations…
Vérification
Publier la réponse
Forums
Forums généraux
Informatique
Comment combler les failles de sécurité web les plus courantes ? (3.0)
Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
Acceptez
En savoir plus.…
Haut