SlideShare une entreprise Scribd logo

Owasp et les failles des applications web

Télécharger en tant que PPTX, PDF
H
Henrique Mukanda

Présentation de l'organisation OWASP + Explication des failles + des applications + web et démonstration + piratatage + sécurisation des applications + avec + Webgoat + l'application vulnérable des tests de + l'organisation OWASP

Technologie
1  sur  9
OWASPET LES FAILLES DES APPLICATIONSWEB |by @mahid_hm
Presenter par @mahid_hm 2 ❗ DISCLAIMER CETTE PRESENTATION A UN SIMPLE ET UNIQUE BUT : INFORMER
Quid OWASP ? Presenter par @mahid_hm 3 OWASP, Un projet open source communautaire mis en place pour développer des - Outils logiciels et - Documentations pour la sécurité des applications Web - Guides définissant les exigences de sécurité pour construire des applications WEB Possède aussi une grande partie pour les tests d'intrusion des applications WEB
Presenter par @mahid_hm 4 Que vise OWASP ? L'objectif principal de l'OWASP est de produire des outils, documents et standards dédiés à la sécurité des applications Web. Et il est destiné aux : - Développeurs pour produire du code sécurisé, - Testeurs d’application pour avoir un ensemble de tests supplémentaires à effectuer. - Expert sécurité pour vérifier si d’autres vulnérabilités ne peuvent pas être découvertes Les projets d’OWASP les plus connus sont : Top Ten OWASP, WebGoat, WebScarab, Guide de Tests, Guide de revue de code
Presenter par @mahid_hm 5 Top Ten OWASP (TTO) Cfr : site officiel d’OWASP dans l’onglet Top Ten OWASP
Presenter par @mahid_hm 6 WebGoat et Les failles Web Le projet WebGoat est hébergé sur le site de l’OWASP, ce projet a pour objectifs de fournir une application évolutive de formations aux techniques d’attaques des applications web, son utilisation requiert de disposer d’un serveur sur lequel est installé un serveur d’application « Tomcat » LES FAILLES WEB : (Expliquées ici suivant le model proposé dans le projet WebGoat) 1) FAILLES : SQL INJECTION : C’est une faille très répandue utilisée par un grand nombre de pirates informatiques avec de très mauvaises conséquences les deux principales raisons pour lesquelles cette faille est assez répandue sont : - L’importance des données qu’on peut utiliser se trouvant dans les base de données ce qui incite des pirates a utilisé cette faille pour des raisons purement personnelles, - Le manque de sensibilisation des programmeurs qui laisses beaucoup de failles dans leur code lors de la création d’une application
Presenter par @mahid_hm 7 (suite) WebGoat et Les failles Web ❌ Démo sur : Comment on exploite la vulnérabilité «STRING SQL INJECTION » (Pratique) ✔ SOLUTIONS POUR CONTRER LES FAILLES DU TYPE SQL INJECTION : Pour éviter les failles du type SQL INJECTION on peut citer deux principales méthodes : - Les requêtes paramètres - Les procédures stockées Pour plus d’informations, lire le guide OWASP sur le site officiel, A retenir : - Les failles SQL injection peuvent êtres utilisées que dans des champs vulnérables, - Il faut avoir une connaissance en langage de requête SQL pour pouvoir utiliser cette faille - La faille SQL injection est très dangereuse car elle peut affecter une base de données toute entière soit en modifiant ou en supprimant ou en ajoutant des données
Presenter par @mahid_hm 8 2) FAILLES : XSS : permet l'injection de code html-javaScript dans un script PHP, en exploitant des variables mal protégées. Problématique : Le faite de donner la confiance aux utilisateurs est un grand problème ce qui veux dire que si le développeur n’exige pas des filtres et des traitements sur les variables ou les données introduites par les utilisateurs par exemple dans les champs d’un site, peut générer beaucoup de problème. Puisque un utilisateur malveillant peut introduire du code JavaScript ou autre qui sera exécuté automatiquement. ✔ SOLUTIONS POUR CONTRER LES FAILLES DU TYPE XSS: - Toujours faire des filtres minutieux et précis sur toutes les entrées d’un formulaire, - Pour faire en sorte que le code JavaScript ne s'exécute pas sur le navigateur, simplement remplacer tout les < et > par leurs équivalents HTML&lt; et &gt; - Fonction php preg_replace() , htmlspecialchars() qui permet de neutraliser toutes les balises HTML Pour plus d’informations, lire le guide OWASP sur le site officiel, PRINCIPE : « Never trust user input » (suite) WebGoat et Les failles Web
Presenter par @mahid_hm 9 3) FAILLES : Access Control Flaws : Obtenir des permissions « non permises » par défaut dans le rôle ou accéder à un rôle plus privilégier, Cfr TOP TEN OWASP NB : OWASP va travailler sur d'autres domaines autres que le web, mobile , développer des applications variées sécurisées (non seulement applications web) etc.. (suite) Les failles Web

Recommandé

Presentation: Java in the Cloud with Windows Azure
Presentation: Java in the Cloud with Windows AzurePresentation: Java in the Cloud with Windows Azure
Presentation: Java in the Cloud with Windows AzureThomas Conté
 
Visual Studio 2013
Visual Studio 2013Visual Studio 2013
Visual Studio 2013Microsoft
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Octo Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endOcto Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endFrançois Petitit
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...
OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...
OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...StardustTesting
 
Comment bien tester son site RWD ?
Comment bien tester son site RWD ?Comment bien tester son site RWD ?
Comment bien tester son site RWD ?StardustTesting
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 

Recommandé

Presentation: Java in the Cloud with Windows Azure
Presentation: Java in the Cloud with Windows AzurePresentation: Java in the Cloud with Windows Azure
Presentation: Java in the Cloud with Windows AzureThomas Conté
 
Visual Studio 2013
Visual Studio 2013Visual Studio 2013
Visual Studio 2013Microsoft
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Octo Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endOcto Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endFrançois Petitit
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...
OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...
OBJECTIF QUALITÉ DIGITALE : Comment élaborer une bonne stratégie de test pou...StardustTesting
 
Comment bien tester son site RWD ?
Comment bien tester son site RWD ?Comment bien tester son site RWD ?
Comment bien tester son site RWD ?StardustTesting
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secretsOpen Source Experience
 
Octo RefCard test front-end
Octo RefCard test front-endOcto RefCard test front-end
Octo RefCard test front-endClément Dubois
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
 
Programmation Web developpement dynamique
Programmation Web developpement dynamiqueProgrammation Web developpement dynamique
Programmation Web developpement dynamiqueYounesOuladSayad1
 
Ma stack d'outils agiles, tout un programme !
Ma stack d'outils agiles, tout un programme !Ma stack d'outils agiles, tout un programme !
Ma stack d'outils agiles, tout un programme !Cédric Leblond
 
10 tips pour améliorer les performances de vos applications Windows 8
10 tips pour améliorer les performances de vos applications Windows 810 tips pour améliorer les performances de vos applications Windows 8
10 tips pour améliorer les performances de vos applications Windows 8Microsoft
 
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-webM10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-webCERTyou Formation
 
Introduction au test_logiciel-fr
Introduction au test_logiciel-frIntroduction au test_logiciel-fr
Introduction au test_logiciel-frEmanBali
 
developpement web framework cms developpement brute
developpement web framework cms developpement brutedeveloppement web framework cms developpement brute
developpement web framework cms developpement bruteYounesOuladSayad1
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le WebGroupe Revolution 9
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en lignePrénom Nom de famille
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Connected Developper Ep2 (20 04-2013)
Connected Developper Ep2 (20 04-2013)Connected Developper Ep2 (20 04-2013)
Connected Developper Ep2 (20 04-2013)Badr Hakkari
 
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!Frédéric Harper
 
20081113 - Nantes Jug - Apache Maven
20081113 - Nantes Jug - Apache Maven20081113 - Nantes Jug - Apache Maven
20081113 - Nantes Jug - Apache MavenArnaud Héritier
 
Réussir son projet robotique
Réussir son projet robotiqueRéussir son projet robotique
Réussir son projet robotiqueAwabot│Robotique de Service
 

Contenu connexe

Similaire à Owasp et les failles des applications web

Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secretsOpen Source Experience
 
Octo RefCard test front-end
Octo RefCard test front-endOcto RefCard test front-end
Octo RefCard test front-endClément Dubois
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
 
Programmation Web developpement dynamique
Programmation Web developpement dynamiqueProgrammation Web developpement dynamique
Programmation Web developpement dynamiqueYounesOuladSayad1
 
Ma stack d'outils agiles, tout un programme !
Ma stack d'outils agiles, tout un programme !Ma stack d'outils agiles, tout un programme !
Ma stack d'outils agiles, tout un programme !Cédric Leblond
 
10 tips pour améliorer les performances de vos applications Windows 8
10 tips pour améliorer les performances de vos applications Windows 810 tips pour améliorer les performances de vos applications Windows 8
10 tips pour améliorer les performances de vos applications Windows 8Microsoft
 
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-webM10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-webCERTyou Formation
 
Introduction au test_logiciel-fr
Introduction au test_logiciel-frIntroduction au test_logiciel-fr
Introduction au test_logiciel-frEmanBali
 
developpement web framework cms developpement brute
developpement web framework cms developpement brutedeveloppement web framework cms developpement brute
developpement web framework cms developpement bruteYounesOuladSayad1
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en lignePrénom Nom de famille
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Connected Developper Ep2 (20 04-2013)
Connected Developper Ep2 (20 04-2013)Connected Developper Ep2 (20 04-2013)
Connected Developper Ep2 (20 04-2013)Badr Hakkari
 
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!Frédéric Harper
 
20081113 - Nantes Jug - Apache Maven
20081113 - Nantes Jug - Apache Maven20081113 - Nantes Jug - Apache Maven
20081113 - Nantes Jug - Apache MavenArnaud Héritier
 

Similaire à Owasp et les failles des applications web (20)

Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secrets
 
Octo RefCard test front-end
Octo RefCard test front-endOcto RefCard test front-end
Octo RefCard test front-end
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
 
Programmation Web developpement dynamique
Programmation Web developpement dynamiqueProgrammation Web developpement dynamique
Programmation Web developpement dynamique
 
Ma stack d'outils agiles, tout un programme !
Ma stack d'outils agiles, tout un programme !Ma stack d'outils agiles, tout un programme !
Ma stack d'outils agiles, tout un programme !
 
10 tips pour améliorer les performances de vos applications Windows 8
10 tips pour améliorer les performances de vos applications Windows 810 tips pour améliorer les performances de vos applications Windows 8
10 tips pour améliorer les performances de vos applications Windows 8
 
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-webM10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
M10958 formation-les-fondamentaux-de-la-programmation-d-applications-web
 
Introduction au test_logiciel-fr
Introduction au test_logiciel-frIntroduction au test_logiciel-fr
Introduction au test_logiciel-fr
 
developpement web framework cms developpement brute
developpement web framework cms developpement brutedeveloppement web framework cms developpement brute
developpement web framework cms developpement brute
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Connected Developper Ep2 (20 04-2013)
Connected Developper Ep2 (20 04-2013)Connected Developper Ep2 (20 04-2013)
Connected Developper Ep2 (20 04-2013)
 
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
TechDays Montreal WebMatrix, voyez ce que la matrice peut faire pour vous!!
 
20081113 - Nantes Jug - Apache Maven
20081113 - Nantes Jug - Apache Maven20081113 - Nantes Jug - Apache Maven
20081113 - Nantes Jug - Apache Maven
 
Réussir son projet robotique
Réussir son projet robotiqueRéussir son projet robotique
Réussir son projet robotique
 

Owasp et les failles des applications web

  • 1. OWASPET LES FAILLES DES APPLICATIONSWEB |by @mahid_hm
  • 2. Presenter par @mahid_hm 2 ❗ DISCLAIMER CETTE PRESENTATION A UN SIMPLE ET UNIQUE BUT : INFORMER
  • 3. Quid OWASP ? Presenter par @mahid_hm 3 OWASP, Un projet open source communautaire mis en place pour développer des - Outils logiciels et - Documentations pour la sécurité des applications Web - Guides définissant les exigences de sécurité pour construire des applications WEB Possède aussi une grande partie pour les tests d'intrusion des applications WEB
  • 4. Presenter par @mahid_hm 4 Que vise OWASP ? L'objectif principal de l'OWASP est de produire des outils, documents et standards dédiés à la sécurité des applications Web. Et il est destiné aux : - Développeurs pour produire du code sécurisé, - Testeurs d’application pour avoir un ensemble de tests supplémentaires à effectuer. - Expert sécurité pour vérifier si d’autres vulnérabilités ne peuvent pas être découvertes Les projets d’OWASP les plus connus sont : Top Ten OWASP, WebGoat, WebScarab, Guide de Tests, Guide de revue de code
  • 5. Presenter par @mahid_hm 5 Top Ten OWASP (TTO) Cfr : site officiel d’OWASP dans l’onglet Top Ten OWASP
  • 6. Presenter par @mahid_hm 6 WebGoat et Les failles Web Le projet WebGoat est hébergé sur le site de l’OWASP, ce projet a pour objectifs de fournir une application évolutive de formations aux techniques d’attaques des applications web, son utilisation requiert de disposer d’un serveur sur lequel est installé un serveur d’application « Tomcat » LES FAILLES WEB : (Expliquées ici suivant le model proposé dans le projet WebGoat) 1) FAILLES : SQL INJECTION : C’est une faille très répandue utilisée par un grand nombre de pirates informatiques avec de très mauvaises conséquences les deux principales raisons pour lesquelles cette faille est assez répandue sont : - L’importance des données qu’on peut utiliser se trouvant dans les base de données ce qui incite des pirates a utilisé cette faille pour des raisons purement personnelles, - Le manque de sensibilisation des programmeurs qui laisses beaucoup de failles dans leur code lors de la création d’une application
  • 7. Presenter par @mahid_hm 7 (suite) WebGoat et Les failles Web ❌ Démo sur : Comment on exploite la vulnérabilité «STRING SQL INJECTION » (Pratique) ✔ SOLUTIONS POUR CONTRER LES FAILLES DU TYPE SQL INJECTION : Pour éviter les failles du type SQL INJECTION on peut citer deux principales méthodes : - Les requêtes paramètres - Les procédures stockées Pour plus d’informations, lire le guide OWASP sur le site officiel, A retenir : - Les failles SQL injection peuvent êtres utilisées que dans des champs vulnérables, - Il faut avoir une connaissance en langage de requête SQL pour pouvoir utiliser cette faille - La faille SQL injection est très dangereuse car elle peut affecter une base de données toute entière soit en modifiant ou en supprimant ou en ajoutant des données
  • 8. Presenter par @mahid_hm 8 2) FAILLES : XSS : permet l'injection de code html-javaScript dans un script PHP, en exploitant des variables mal protégées. Problématique : Le faite de donner la confiance aux utilisateurs est un grand problème ce qui veux dire que si le développeur n’exige pas des filtres et des traitements sur les variables ou les données introduites par les utilisateurs par exemple dans les champs d’un site, peut générer beaucoup de problème. Puisque un utilisateur malveillant peut introduire du code JavaScript ou autre qui sera exécuté automatiquement. ✔ SOLUTIONS POUR CONTRER LES FAILLES DU TYPE XSS: - Toujours faire des filtres minutieux et précis sur toutes les entrées d’un formulaire, - Pour faire en sorte que le code JavaScript ne s'exécute pas sur le navigateur, simplement remplacer tout les < et > par leurs équivalents HTML&lt; et &gt; - Fonction php preg_replace() , htmlspecialchars() qui permet de neutraliser toutes les balises HTML Pour plus d’informations, lire le guide OWASP sur le site officiel, PRINCIPE : « Never trust user input » (suite) WebGoat et Les failles Web
  • 9. Presenter par @mahid_hm 9 3) FAILLES : Access Control Flaws : Obtenir des permissions « non permises » par défaut dans le rôle ou accéder à un rôle plus privilégier, Cfr TOP TEN OWASP NB : OWASP va travailler sur d'autres domaines autres que le web, mobile , développer des applications variées sécurisées (non seulement applications web) etc.. (suite) Les failles Web