Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement( Télécharger le fichier original )par Guillaume HARRY Conservatoire national des arts et métiers - Ingénieur 2012 |
5.2 Configuration des composants serveurPour des raisons de capacité de calcul, la taille minimale des clés symétriques utilisées jusqu'en 2020 doit être de 100 bits et de 128 bits au-delà de 2020. Si le caractère confidentiel des données nécessite la mise en place du chiffrement des flux, toutes les pages doivent protégées et pas seulement celles manipulant ces données. Les outils installés doivent être mis à jour avec le correctif le plus récent. Les options inutilisées des outils installés doivent être supprimées ou désactivées. Le serveur http ne doit pas afficher le contenu d'un répertoire. 5.3 AuditPendant la phase de développement, les tests unitaires permettent de vérifier le comportement d'une fonction de l'application. Ils peuvent être utilisés pour s'assurer que les règles de développement citées précédemment sont respectées. En complément, les outils d'intégration continue, tels que Jetkins ou Hudson, permettent de vérifier à chaque modification de code qu'elle n'engendre pas de régression. L'utilisation conjointe de cette panoplie d'outils facilite les audits de code et permettent même de les automatiser lors des phases de maintenance. Les fichiers de journalisation des serveurs doivent faire l'objet d'un audit régulier afin de s'assurer que l'application ou le serveur n'a pas été victime de tentative d'attaque par la force brute. |
|