Les différents types d’attaques peuvent être répartis en deux catégories de base :
Dans la continuité de notre série dédiée à la compréhension des vulnérabilités web, ce 6ème épisode nous parle d’exposition de données sensibles.
Comme pour les autres articles de cette série, nous ne plongerons pas des les détails techniques (il faudrait y consacrer un nombre conséquent de pages), nous ne parlerons donc pas de Cryptographie.
Ce type de vulnérabilité est classé au sixième rang de l’OWASP Top 10 2013. Ces vulnérabilités sont assez difficiles à exploiter par les pirates; mais l’impact est tellement sévère qu’il est très important de correctement les comprendre et de faire des choix d’architecture appropriés.
Nous supposons ici que votre environnement d’hébergement est déjà sécurisé, qu’il s’agisse d’un environnement géré en interne ou administré par un prestataire externe.
Focalisons nous sur l’application. Quelles sont les étapes à effectuer afin d’améliorer la sécurité d’une application web ? Comment réduire la surface d’attaque et éliminer des risques facilement décelables ?
Cet article n’a pas la prétention de constituer le manuel du parfait défenseur d’applications web, mais rappelle des principes de bases et présente une liste d’éléments à prendre en compte et à appliquer.