1 / 9

Défaillance dans la restriction des accès URL

Défaillance dans la restriction des accès URL. Par David Martel. Introduction. La défaillance dans la restriction des accès URL est la recherche de toutes failles concernant l’URL d’un site web. Une adresse web (URL) est composée en trois (3) parties:.

hide
Download Presentation

Défaillance dans la restriction des accès URL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Défaillance dans la restriction des accès URL Par David Martel

  2. Introduction • La défaillance dans la restriction des accès URL est la recherche de toutes failles concernant l’URL d’un site web. • Une adresse web (URL) est composée en trois (3) parties: http://www.monsite.com/mapage.php?recherche=licorne&corne=longue Adresse du serveur Page web Paramètres de requête

  3. présentation du problème

  4. Problématique – Un site dans un site… Mauvaise idée • EXEMPLE: • Bob a un site de nutrition • Quand il a fait le site, il trippait beaucoup sur les « iframe »… • MÊME SI: • Selon lui, les « iframe » sont la révolution • IL SE PEUT QUE: • Il aie une mauvaise surprise prochainement • Il reçoive un lien de son ami comme…

  5. Problématique –L’invisibilité n’est pas exactement invisible • EXEMPLE • Bob a un site personnel • Il cache sa page d’administration avec le nom « bobAdminLikeABoss.php » • Et ne met pas d’authentification pensant que c’est secret, donc protégé… • MÊME SI: • Aucun lien ne pointe vers sa page • Et qu’elle se nomme bizarrement • IL SE PEUT QUE: • Quelqu’un d’assez chanceux ou d’assez expérimenté trouve la page

  6. Problématique – Les redirections ne protègent pas totalement • EXEMPLE: • Bob a comprit qu’il ne doit pas laisser sa page web d’administration sans authentification • Il décide de la sécuriser en y ajoutant un formulaire de connexion dans la même page en masquant le reste du contenu de la page • MÊME SI: • Le contenu est masqué • Une authentification est demandé pour accéder au contenu réel de la page • IL SE PEUT QUE: • Quelqu’un ait désactivé les redirections • DÉMO!!!

  7. Environnements affectés - Il est certain que tous les environnements web dynamiques sont affectés

  8. Comment l’éviter • Masquer le contenu de la page sensée être redirigé, au cas où… • N’autoriser que les redirections menant vers son propre site • Toujours utiliser l’authentification même si des parties ne sont accessibles qu’à l’administrateur • Sécuriser autant la couche présentation que la couche métier de l’application • S’assurer que toutes les fonctions aient un système de contrôle d’accès • En PHP (par exemple), s’assurer que les fichiers d’inclusion ne soient pas accessible directement • Bloquer l’accès à des ressources n’ayant pas besoin d’être accédées directement (ex: fichier XML)

  9. Conclusion • Il suffit d’un petit oubli pour que toute la sécurité soit compromise • La défaillance dans la restriction des accès URL exploite justement ce genre de petits oublis • En conclusion, programmer est un art, sécuriser est une profession!

More Related