17/07/2009 à 10:53:13
Par Cyril
Nous allons aujourd’hui analyser les techniques de sécurité à mettre en place pour deux types de sites, que nous considérerons que nécessitant une sécurité faible pour l’un, et forte pour l’autre.
Sites nécessitant une sécurité faible : Tous les sites avec aucune partie financière ou contenant des données privées, tel que les forums, wikis, twitter, etc.
Sites nécessitant une sécurité forte : Tous les sites avec des données financières et/ou personnelles : banques, webmail, hébergeurs.
Voici différents éléments qui devraient être respectés lors de la mise en place de tels sites :
Read more »
09/07/2009 à 23:39:32
Par Cyril
Tout le monde vous le dira, il ne faut jamais faire confiance à vos utilisateurs, surtout lorsque ceux ci peuvent ajouter des données sur votre serveur par le biais de formulaires.
En effet, on entends trop souvent parler des failles XSS ou Cross Site Scripting (le X à la place du C à été défini afin de ne pas interférer avec le CSS, Cascading Style Sheet) ou des attaques par SQL Injection :
- Les failles XSS modifient le comportement de vos pages HTML en utilisant des variables ou des entrées de formulaires mal protégés.
- Les attaques par SQL Injection utilisent le même procédé, mais pour des requêtes SQL exécutées côté serveur.
Nous verrons ces attaques lors de prochain articles.
Afin de ne pas compromettre la sécurité de votre serveur et celle de vos utilisateurs, il est essentiel d’analyser chaque données fournies par l’utilisateur avant de les traiter.
Read more »
09/10/2008 à 00:43:10
Par Cyril
Dans son état d’origine, MySQL est installé avec une configuration catastrophique : aucun mot de passe pour le compte root, utilisateurs tests, accès anonymes, … . Une plaie pour ce qui est de la sécurité !
Nous allons voir dans cet article quelques conseils afin de protéger plus efficacement votre serveur de base de données.
Read more »
08/10/2008 à 23:56:18
Par Cyril
De nombreux scripts parcourent votre serveur à la recherche port ouvert afin de tenter de s’y introduire. Une bonne configuration du fichier de configuration de MySQL (my.cnf) vous permettra déjà d’éviter des attaques de l’extérieur (ou tout du moins de les limiter), mais aussi vous protégera sur le moyen et long terme à cause de scripts divers mal sécurisés !
Voyons voir quelles directives appliquer, et pourquoi :
Read more »
04/10/2008 à 15:40:39
Par Cyril
Mal configurer php.ini ne constitue pas en soi un risque, mais une application php mal écrite donnera à un attaquant un pouvoir plus grand !
Voici une liste de directives contenues dans le fichier php.ini que vous devriez mettre à la valeur indiquée :
Read more »
03/10/2008 à 10:50:53
Par Cyril
Voilà ! L’aventure commence :)
Comme vous pouvez vous en douter, PhpSec traitera principalement du domaine de la sécurité informatique dans les applications Php. Il y aura bien sûr des articles sur la sécurisation de vos scripts php, sur des méthodes pour réaliser des scripts plus sécurisés, mais nous parlerons aussi de la sécurisation de serveurs (Linux/Apache/MySQL/Php).
Le but étant bien sûr de vous proposer les meilleures solutions pour vous protéger des risques du web.
Si vous désirez proposer un article, un tutoriel, un lien, n’hésitez pas à nous contacter.
Et nous finirons par cette citation de Bruce Schneier :
« Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore. »
