En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
NTT secu_Threat Intelligence report_leaderboard

Les causes les plus courantes

ITrust_SOC_pave

La cause principale des failles est tout simplement le manque de filtrage des données et la trop grande confiance accordée aux utilisateurs par le développeur. Il est primordial de filtrer chaque donnée aussi bien en entrée qu’en sortie et d’en vérifier la structure et le contenu. En effet, puisque le développeur connaît le type de données attendu et les caractères possibles dans cette donnée, il lui suffit alors de vérifier le type ainsi que les caractères présents pour en déterminer la validité. Pour cela, l’utilisation des “Expression régulières” est un bon moyen. Une grande majorité des failles pourraient ainsi être évitées. Certes, cela représente beaucoup de travail pour le développeur qui n’a pas toujours le temps de se pencher sur la question “sécurité” et qui s’assure avant tout du bon fonctionnement de son développement pour respecter les délais de livraison. Or, il est plus simple de corriger une vulnérabilité en amont qu’en aval. Une autre cause concerne l’utilisation des données par défaut, que ce soit dans un CMS, un serveur Web, un serveur de base de données ou autre. Trop souvent, par manque de temps, les administrateurs systèmes et les développeurs occultent ces paramètres. On retrouve donc des serveurs de base de données exécutés avec des paramètres “root” accordant au pirate, en cas d’injection SQL, une totale liberté d’action autour des serveurs Web dont l’affichage des bannières est activé, où le “Directory Listing” est activé, les sessions non protégées. Dans le cas du “PHP”, on remarque également des options critiques activées, comme l’inclusion de fichier distant, l’exécution de commande système, l’affichage de la version installée, l’affichage des messages d’erreurs, etc. Dans certains cas, nous observons même des “Web applications” dont les identifiants administrateur sont “root / password”. L’affichage des versions installées du serveur Web, de la base de données et des langages de développement permettra à un pirate d’aller directement rechercher les vulnérabilités connues pour ces versions et de les exploiter. Nous rencontrons aussi de nombreux sites dont les messages d’erreurs sont affichés en clair. A priori, pour la plupart des développeurs, cela ne constitue simplement qu’un “design” perturbé, mais pour les “hackers” en revanche, cela représente bien plus. En effet, dans le cas d’une “SQL Injection” si les erreurs SQL sont affichées, le pirate connaîtra alors la structure de la requête, le type et le nom des données attendues et économisera 80% de temps de recherche pour exploiter la faille. L’un des gros points noirs des outils “CMS” est qu’ils sont pour la plupart “Open Source”. En conséquence, un pirate peut facilement analyser le code source à la recherche de failles pendant des journées entières qu’il exploitera ensuite sur un site utilisant le même “CMS”.

Les causes les plus courantes
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Aides d'État: la Commission assigne l'Irlande devant la Cour de justice pour non-récupération des 13 milliards € d'avantages fiscaux perçus illégalement par Apple

    La Commission européenne a décidé d'assigner l'Irlande devant la Cour de justice de l'UE pour…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Les attaques IoT vont augmenter, prédit NordVPN

    Pour Marty P. Kamden, directeur marketing de NordVPN, un fournisseur de VPN (réseaux privés virtuels)…

    > En savoir plus...
Etudes/Enquêtes
  • Disques durs d'occasion sur eBay : la moitié contiennent des informations personnelles et professionnelles critiques

    L'expérience est intéressante : une société spécialiste de la récupération de données a acheté 64…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
  • Le paiement en 2050 et au-delà

    > Voir le livre
elo_processus pointe_skyscraper