Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement( Télécharger le fichier original )par Guillaume HARRY Conservatoire national des arts et métiers - Ingénieur 2012 |
7. BIBLIOGRAPHIE[1] K. Hafner et M. Lyon. Les sorciers du Net. Calmann-Lévy, 346p, 1999 [2] L. Shklar et R. Rosen. Web Application Architecture: Principles, Protocols and Practices. John Wiley & Sons Ltd, 372p, 2003 [3] D. Cederholm. Bonnes pratiques des standards du web. Pearson Education, 300p, 2010 [4] S. Gulati. Under the hood of the Internet: Connector: the Internet protocol, part one: the foundations. Magazine Crossroads 6, article 3, 2000 [5] G.Florin et S.Natkin. Support de cours RESEAUX ET PROTOCOLES. CNAM, 884p, 2007 [6] J. Governor, D. Hinchcliffe et D. Nickull. Web 2.0 Architectures. O'Reilly Media, 248p, 2009 [7] C. Porteneuve et T. Nitot. Bien développer pour le Web 2.0 : Bonnes pratiques Ajax. Eyrolles, 673p, 2008 [8] M. Contensin. Sécurité des applications web dans formation PHP/MySQL chapitre 6. CNRS, 2007 [9] J. Scambray, V. Liu et C. Sima. Hacking Exposed Web Applications: Web Application Security Secrets and Solutions. Osborne/McGraw-Hill, 482p, 2010 [10] H. Dwivedi, A. Stamos, Z. Lackey et R. Cannings. Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions. Osborne/McGraw-Hill, 258p, 2007 [11] Z. Su et G. Wassermann. The essence of command injection attacks in web applications. Dans POPL'06 Conference, ACM SIGPLAN Notices, p372-384, 2006 [12] Y.-W. Huang, C.-H. Tsai, T.-P. Lin, S.-K. H., D.T. Lee et S.-Y. Kuo. A testing framework for Web application security assessment. Dans Computer Networks, pages 739-761, 2005 [13] A. Kiezun, P. J. Guo, K. Jayaraman, M. D. Ernst. Automatic Creation of SQL Injection and Cross-Site Scripting Attacks. Dans ICSE, pages 199-209, 2009 [14] D. Gollmann. Securing Web applications. Dans Information Security Technical Report, chapitre 1-9, Elsevier, 2008 Les sites Web cités ci-dessous sont considérés comme des sources fiables par les organismes évoqués précédemment. · http://csrc.nist.gov/publications/ consulté le 27/11/2011 · http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/ consulté le 27/11/2011 · http://ha.ckers.org/ consulté le 27/11/2011 · http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html consulté le 27/11/2011 · http://references.modernisation.gouv.fr/ consulté le 21/11/2011 · http://www.certa.ssi.gouv.fr/ consulté le 21/11/2011 · http://www.cgisecurity.com/ consulté le 27/11/2011 · http://www.checkmarx.com/ consulté le 27/11/2011 · http://www.clusif.asso.fr/ consulté le 21/11/2011 · http://www.cnil.fr/ consulté le 03/12/2011 · http://www.dgdr.cnrs.fr/fsd/ consulté le 19/11/2011 · http://www.dwheeler.com/secure-programs/ consulté le 27/11/2011 · http://www.ietf.org/ consulté le 27/11/2011 · http://www.legifrance.gouv.fr/ consulté le 10/12/2011 · http://www.ouah.org/chambet.html consulté le 27/11/2011 · https://www.owasp.org/ consulté le 19/11/2011 · http://www.pcmag.com/article2/0,4149,11525,00.asp consulté le 10/12/2011 · http://www.references.modernisation.gouv.fr/rgs-securite consulté le 27/11/2011 · http://www.resinfo.org/ consulté le 20/11/2011 · http://www.rsa.com/ consulté le 10/12/2011 · http://www.schneier.com/blog/archives/2005/10/scandinavian_at_1.html consulté le 27/11/2011 · http://www.ssi.gouv.fr/ consulté le 21/11/2011 · http://www.w3.org/ consulté le 21/11/2011 · http://www.webappsec.org/ consulté le 21/11/2011 · http://yehg.net/lab/ consulté le 27/11/2011 Source des icônes libres de droits d'utilisations : http://findicons.com RÉSUMÉ Internet est né dans la fin des années 80 et le Web au début des années 90, offrant un mode de consultation passif des sites Web à l'utilisateur. Les années 2000 ont vu l'émergence du Web 2.0 rendant l'internaute actif et créateur de contenu et amenant les applications sur la toile. Comme pour toutes les applications, il existe des vulnérabilités mais celles-ci sont exposées à une plus grande population. Les problèmes qu'elles peuvent engendrer peut aller jusqu'au vol d'informations confidentielles et à la corruption de l'application. Ce document traite les dix risques de sécurité les plus dangereux recensés par l'Open Web Application Security Project. Le principe de chacune des failles est expliqué et illustré par un ou plusieurs exemples. Des règles sont données pour se prémunir contre des attaques. Ces bonnes pratiques sont complétées pour proposer au développeur des nouvelles habitudes et protéger ses applications. Mots clés : Web, Internet, application, sécurité, vulnérabilité
ABSTRACT Internet is born at the end of the 80's and Web at the beginning of the 90's, giving a passive consultation mode on Web sites to the user. At the beginning of the 21th century, Web 2.0, the Web surfer became active and content creator and applications were deployed on the Web. As all the applications, vulnerabilities exist but they are exposed to a bigger population. They may generate problems such as confidential information steal, or application corruption. This document deals with the top ten most critical security risks identified by Open Web Application Security Project. Each weakness is explained and illustrated by some examples. Rules are given to protect against attacks. These good practices are completed to propose new habits to the developer and protect his applications. Keywords: Web, Internet, application, security, vulnerability |
|