Demo

Sécurisation des sites internet

sécurisation site internet

Nos équipes viennent de suivre une formation permettant d'optimiser la sécurité des sites internet ainsi que les serveurs web.

Afin d'apporter un service encore meilleur à nos clients, nous avons suivi une formation intra-entreprise sur les sujets de la sécurisation informatique, la sécurisation des sites internet, la sécurisation des serveurs web et les bonnes pratiques à suivre pour éviter toutes failles de sécurité.

Cette formation nous a été dispensée par la société iTrust qui est spécialisé dans tous ces domaines et réalise pour nous des audits sur certains de nos sites les plus sensibles.

Lors de cette formation nous avons abordée les principales attaques ainsi que les moyens pour s'en prémunir :

  • XSS : faille XSS qui permettent de modifier du code dans des pages générée via une injection dans des champs vulnérables
  • SQL Injections : cette attaque peut autoriser l'accès à un contenu protégé ou dévoiler des informations cachée
  • XXE : basé sur l'interprétation de fichier XML envoyés par un client
  • CSRF : cela permet d'acquérir une partie des droits de la victime en lui faisant exécuter des actions s'en qu'il en ai conscience
  • RFI /LFI : ces failles permettent l'accès à des fichiers "sensible" du serveur et potentiellement à prendre la main sur toute la machine
  • Upload : l'envoie de fichier est une source de risque très importante, les réceptions de fichiers doivent être géré de manière très scupuleuse
  • NoSql Injection : le principe est le même que pour les injections SQL
  • LDAP Injection : idem que les injections SQL mais pour les informations que l'on retrouve dans les annuaires LDAP
  • Server Code Injection : exploitation d'une faille de sécurité du serveur
  • HTTP Responce Splitting : consiste a envoyer des données qui modifie l’entête http

Pour avoir des explications sur toutes ces attaques et bien plus encore, vous pouvez consulter le site de l'OWASP qui fait référence en la matière