Attaques - Attaque de serveurs web

Attaques / Arnaques
Piratage
Pirates
Typologie de pirates
Méthodologie
Exploits
Attaques cryptographiques
Mot de passe
Man in the middle
Rejeu
Déni de service
Déni de service
Attaque par réflexion
Ping de la mort
Fragmentation
Land
SYN
Techniques
Usurpation d'adresse IP (spoofing)
Vol de session (hijacking)
ARP poisoning
Ecoute réseau (sniffers)
Balayage de ports (Port scanning)
Débordement de tampon (Buffer overflow)
Spam
Mail-bombing
Vulnérabilités du web
Attaques web
Falsification de la saisie
Manipulation d'URL
Cross-Site Scripting
Injection SQL
Arnaques
Ingénierie sociale (social engineering)
Scam
Phishing
Loteries
Plus d'information
Virus
Cheval de Troie
Spyware
Hoax
FAQ sécurité
FAQ Internet

Vulnérabilité des services web

Les premières attaques réseau exploitaient des vulnérabilités liées à l'implémentation des protocoles de la suite TCP/IP. Avec la correction progressive de ces vulnérabilités les attaques se sont décalées vers les couches applicatives et en particulier le web, dans la mesure où la plupart des entreprises ouvrent leur système pare-feu pour le traffic destiné au web.

Le protocole HTTP (ou HTTPS) est le standard permettant de véhiculer les pages web par un mécanisme de requêtes et de réponses. Utilisé essentiellement pour transporter des pages web informationnelles (pages web statiques), le web est rapidement devenu un support interactif permettant de fournir des services en ligne. Le terme d'« application web » désigne ainsi toute application dont l'interface est accessible à travers le web à l'aide d'un simple navigateur. Devenu le support d'un certain nombre de technologies (SOAP, Javascript, XML RPC, etc.), le protocole HTTP possède désormais un rôle stratégique certain dans la sécurité des systèmes d'information.

Dans la mesure où les serveurs web sont de plus en plus sécurisés, les attaques se sont progressivement décalées vers l'exploitation des failles des applications web.

Ainsi, la sécurité des services web doit être un élément pris en compte dès leur conception et leur développement.

Types de vulnérabilités

Vulnérabilités des applications web

Les vulnérabilités des applications web peuvent être catégorisées de la manière suivante :

Vulnérabilités du serveur web. Ce type de cas est de plus en plus rare car au fur et à mesure des années les principaux développeurs de serveurs web ont renforcé leur sécurisation ;
Manipulation des URL, consistant à modifier manuellement les paramètres des URL afin de modifier le comportement attendu du serveur web ;
Exploitation des faiblesses des identifiants de session et des mécanismes d'authentification ;
Injection de code HTML et Cross-Site Scripting ;
Injection de commandes SQL.

La nécessaire vérification des données d'entrée

Le protocole HTTP est par nature prévu pour gérer des requêtes, c'est-à-dire recevoir des données en entrée et envoyer des données en retour. Les données peuvent être envoyées de diverses façons :

Via l'URL de la page web
Dans les en-têtes HTTP
Dans le corps de la requête (requête POST)
Via un cookie

Le principe de base à retenir d'une manière générale lors de tout développement informatique est qu'il ne faut pas faire confiance aux données envoyées par le client.

Ainsi, la quasi-totalité des vulnérabilités des services web est liée aux négligences des concepteurs, ne faisant pas de vérifications sur le format des données saisies par les utilisateurs.

Impact des attaques web

Les attaques à l'encontre des applications web sont toujours nuisibles car elles donnent une mauvaise image de l'entreprise. Les conséquences d'une attaque réussie peuvent notamment être une des suivantes :

Défacement de site web ;
Vol d'informations ;
Modification de données, notamment modification de données personnelles d'utilisateurs ;
Intrusion sur le serveur web.

Trucs & astuces pertinents trouvés dans la base de connaissances

20/02 11h26	Que peut faire le web pour vous ? (Web)
17/02 08h44	Voir à quoi ressemble votre site ailleurs (Webmaster)
15/02 17h20	Les polices dans les pages web (Webmaster)
23/01 15h45	Comment aspirer un site Web ? (Web)
15/01 23h25	Eliminer totalement les publicités dans les pages web. (Web)
15/01 22h54	L'icône de votre site dans la barre d'adresse (Webmaster)
10/01 16h43	Publier une mindmap dans une page web (Webmaster)
22/12 22h09	Publier facilement une vidéo dans une page web (Webmaster)
22/11 13h03	On peut protéger une page web/une image contre la copie (Mythes et légendes)
11/11 01h39	Coloration syntaxique dans vos pages web (Webmaster)
Plus d'astuces sur « Piratage web »

Discussions pertinentes trouvées dans le forum

02/11 10h48	Se proteger contre le piratage de site web?	Virus/Sécurité	19/12 17h07->sebsauvage	4
13/09 17h18	comment pirater un site web	Internet	14/09 08h10->BmV	2
29/12 21h02	[Mozilla] !!!! Site Web piraté !!!!	Internet	07/02 11h14->Arno59	1
28/08 11h39	Page web wanadoo piratée !	Webmastering	28/08 11h39->steb33	0
02/12 09h15	Piratage en WiFI	Réseaux	08/02 10h33->Beowulf	29
19/07 21h19	PIRATER UN COMPTE MAIL ? ...FACILE !	Internet	18/01 22h29->Ssylvainsab	59
10/10 09h28	Un problème avec une page web qui arrive ?	Internet	01/12 18h57->regis59	54
10/01 20h26	[Virus] trojan web et prog ploqués	Virus/Sécurité	12/01 23h28->Séb08	51
11/06 00h38	compte gmail piraté	Virus/Sécurité	13/11 15h31->assi	48
Discussion fermée Problème résolu		Plus de discussions sur « Piratage web »