Actualités DIAGRAM

Sécuriser un site web et se protéger des hackers

Nos équipes suivent régulièrement des formations permettant d’optimiser la sécurité des sites internet ainsi que les serveurs.

Afin d’apporter un service encore meilleur à nos clients, nous avons suivi une formation intra-entreprise sur la sécurisation informatique. Cette formation portait sur la sécurisation des sites Internet et la sécurisation des serveurs web.

Nous avons également suivi des formations sur les bonnes pratiques à suivre pour éviter toutes failles de sécurité.

Formation sécurisation des sites web

Nous avons fait notamment appel à la société société iTrust pour nous former ; iTrust est spécialisé dans tous ces domaines et réalise pour nous des audits sur certains de nos sites les plus sensibles.

iTrust

Lors de ces formations, nous avons abordé les principales attaques ainsi que les moyens pour s’en prémunir :

  • XSS : failles XSS qui permettent de modifier du code dans des pages générées via une injection dans des champs vulnérables
  • SQL Injections : cette attaque peut autoriser l’accès à un contenu protégé ou dévoiler des informations cachées
  • XXE : basé sur l’interprétation de fichiers XML envoyés par un client
  • CSRF : permets d’acquérir une partie des droits de la victime en lui faisant exécuter des actions sans qu’il en ait conscience
  • RFI /LFI : permettent l’accès à des fichiers « sensibles » du serveur et potentiellement prendre la main sur la machine
  • Upload : l’envoi de fichiers est une source de risques très importante, les réceptions de fichiers doivent être gérées de manière très scrupuleuse
  • NoSql Injection : le principe est le même que pour les injections SQL
  • LDAP Injection : idem que les injections SQL mais pour les informations que l’on retrouve dans les annuaires LDAP
  • Server Code Injection : exploitation d’une faille de sécurité du serveur
  • HTTP Responce Splitting : consiste à envoyer des données qui modifient l’entête HTTP

Les principaux sites référents

owasp-top-10 · GitHub Topics · GitHubPour avoir des explications sur toutes ces attaques et bien plus encore, vous pouvez consulter le site de l’OWASP qui fait référence en la matière.

L’OWASP met également à disposition un outil très intéressant qui nous permet de nous assurer que nos sites sont toujours sécurisés et prennent bien en compte les nombreuses évolutions en la matière : OWASP Zed Attack Proxy.

Nos outils pour sécuriser un site web

Nous utilisons également les différents outils de KALI qui met à disposition de nombreux programmes permettant de tester les failles de sécurité. Certains de ces outils sont spécifiques pour des CMS (WordPress, Joomla…) ou pour un type de faille bien précis (injection SQL)… Tous ces outils ont pour but de sécuriser un site web. 

Audit sécuriser un site web

Nous pouvons également faire un audit de sécurité de votre site web, quelque soit le CMS que vous avez utilisé pour le développer. Nous auditerons le code source de votre site ainsi que le serveur qui héberge celui-ci. Diagram fait également appel à d’autres sociétés comme iTrust ou Orange Cybersécurité pour faire des audits externes de nos propres programmes.