En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
NTT secu_Threat Intelligence report_leaderboard

Les quatre vulnérabilités les plus courantes

NTT secu_Threat Intelligence report_pave

Parmi les quatre vulnérabilités les plus courantes, on retrouve le “SQL Injection”, le “Cross Site Scripting”, le “Broken Authentification and Session Management” et le “Cross Site Request Forgery”

> La vulnérabilité “SQL Injection” est très fréquente car la majorité des sites d’aujourd’hui reposent en partie sur une base de données. Dès lors, une faille de ce type permettra à un pirate d’explorer cette base de données à la recherche d’informations confidentielles, telles que des identifiants, des numéros de cartes bancaires, etc. Dans certains cas le pirate se servira de cette faille pour rapatrier un “malware” sur le poste du visiteur via l’injection de code JavaScript réalisée au préalable. Le principe est relativement simple : envoyer des données générant un comportement inattendu.

> La vulnérabilité “Cross Site Scripting” ou “XSS” souvent sous-estimée, est la plus présente sur les sites internet. Elle a pour principale vocation la manipulation côté “client” des données et/ou des actions du visiteur. Son impact peut aller du vol des sessions utilisateurs, vol de données sensibles, injection de code dans la page Web, redirection vers un site d’hameçonnage, jusqu’au téléchargement invisible de malwares sur le poste du visiteur.

> La vulnérabilité “Broken Authentification and Session Management” qui prend de plus en plus d’ampleur, consiste à récupérer les identifiants d’un utilisateur qui circuleraient en clair sur le réseau car les requêtes HTTP ne seraient pas en SSL. Elle vise encore à récupérer les identifiants de sessions d’un utilisateur afin d’usurper son identité et donc de disposer de l’accès complet à son compte. Ces identifiants de sessions sont la plupart du temps récupérés via une faille “Cross Site Scripting” et de plus en plus de sites intègrent ces identifiants de sessions directement dans l’url.

> La vulnérabilité “Cross Site Request Forgery” est presqu’aussi répandue que le “Cross Site Scripting” car elle repose sur le même principe, à savoir injecter du code. Le but étant de faire générer une requête vers un site malveillant, directement par le navigateur de la victime, ou bien d’exploiter à son insu ses droits sur le site où il est connecté afin de lui faire réaliser des actions. Dans ce dernier cas, ce sont essentiellement les utilisateurs ayant des accès privilégiés qui sont ciblés.

Les quatre vulnérabilités les plus courantes
Notez cet article

Article précedent
Les bonnes pratiques


Article suivant
Les causes les plus courantes


Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Nouvelles règles européennes sur les données non personnelles : un élan majeur pour réaliser le marché unique numérique

    La Commission européenne a proposé mardi 19 septembre de nouvelles règles du jeu pour lever…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - Alain Bouillé, président du CESIN, n’imagine pas l’agilité sans tests continus

    Toute entreprise devra former sur le long terme ses développeurs et ses administrateurs, et surveiller…

    > En savoir plus...
Etudes/Enquêtes
  • La croissance des entreprises IT portée par le RGPD

    Editeurs, sociétés de conseils et de services : la conjoncture est bonne pour 2017, 2018…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global K_Data scientist_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
Global K_Data scientist_skycraper