https
1/2
22.02.2011
FlashInformatique.epfl.ch
SECURITE EPFL
attaque
faille
Internet
URL
trous
PRESENTATION
AUDIT dangereux
pirate
p/a EPFL - Domaine IT - Station 8 - CH 1015 Lausanne - tél. +41 21 69 322 11
Web
DU SITE
Analyse
voir page 11 Actualités ForumIT de novembre J. Dousson
3
CiNN 01, édito P. Fumasoli
16
Seductive Interactions N. Meystre
22
Analyse Sécurité des appli. Web M. Ouwehand
1
Pixlr A. de Brossin
7
Médaille au SWERC C. Kauth
10
Mot-croisé: PANNE
12
Autopsie d’une attaque L. Kling
19
À votre service Certificat de notre CA M. Ouwehand
15
Et si vous clavardiez... L.Venries
17
Recherche dans my.epfl P. Viceic
24
Comment faire? Images ISO sur clé USB B. Barras
8
Agenda Projets AAA de Switch P. Mellier
13
Insomni'hack 2011 P. Such
14
Un penseur, un fignoleur … C. Kauth
18
Brèves DIT-info: retraite de Hoang Lê, nouveaux au DIT
2
Technocivilisation
5
Cahier Secure-IT
15
Zetta
23
Prochaines parutions No Délai de rédaction Parution 3
10.03.11
29.03.11
4
04.04.11
26.04.11
5
05.05.11
24.05.11
tout public public averti expert
Sécurité des applications Web Martin.Ouwehand@epfl.ch, EPFL - Domaine IT, responsable sécurité informatique
A recent security audit of our computer infrastructure found many vulnerable websites in our network. The aim of this article is therefore to give a few basic security tips and pointers to additional resources to help developpers create more secure Web applications. L’audit de sécurité informatique (voir page 11) ayant révélé de nombreux problèmes dans des applications Web aux quatre coins de l’EPFL, cet article a pour but de rappeler les principes de base en ce domaine et de donner quelques pointeurs pour en savoir plus. Un bon point de départ est sans doute le document Les dix risques de sécurité des applicatifs Web les plus critiques de l’OWASP (disponible sous owasptop10. googlecode.com/files/OWASP%20Top%20 10%20-%202010%20French.pdf).
Cet Open Web Application Security Project (owasp.org) est une association de développeurs qui a décidé de réagir contre les problèmes de sécurité omniprésents sur le Web et qui commencent à avoir un impact économique conséquent (dans un incident célèbre, des pirates ont exploité une telle faille pour mettre la main sur les codes de plus de cent millions de cartes de crédit !) Alors que le site de l’OWASP regorge de
documents, de conseils et de bouts de code très utiles (c’est donc une bonne idée d’y faire une visite), il faut bien dire qu’on s’y perd un peu, et j’invite plutôt les développeurs Web de l’EPFL à commencer par lire les dix pages du document mentionné concernant chacune un type de faille et à réfléchir si les applications qu’ils ont écrites ou qu’ils maintiennent ne sont pas vulnérables... Ces pages sont très bien faites, nous emmenant tout de suite au coeur du problème: une description, quelques exemples, comment l’éviter et enfin des pointeurs pour en savoir plus. Parmi ceux-ci, j’ai trouvé dans les cheat sheets (ce qu’écolier j’appelais donc une feuille de triche) un bon équilibre entre la concision et l’étendue des problèmes couverts. Comme le traitement donné dans ce document est assez concret et axé sur la pratique, je vais dans la suite de l’article parler des failles traitées (numérotées, comme dans le document, de A1 à A10) selon les points forts qui s’en dégagent.
Validation des données Tout appel à une application est entièrement sous le contrôle d’un éventuel attaquant, qui peut glisser des caractères imprévus dans les paramètres. Il est donc indispensable de les valider tout au début du code applicatif, et selon la logique liste blanche (par exemple, dans un nom d’utili.. /.. Suite page 6