Conclusion

L’objectif de ce chapitre était de vous faire prendre conscience des problèmes de sécurité que nous pouvons rencontrer sur le Web. Nous ne vous en avons donné qu’un petit aperçu. Comme nous l’avons évoqué, il existe tellement de situations, de langages, de serveurs, qu’il faudrait plusieurs livres pour tout aborder. Mais si, après la lecture de cette partie, vous avez à l’esprit qu’il faut filtrer tout ce qui vient du client et ne pas négliger la configuration du serveur, notre objectif est atteint.

Les deux attaques les plus dangereuses classées par l’OWASP en 2010 sont les injections et l’authentification ainsi que la gestion des sessions, ensuite viennent les attaques XSS qui sont descendues d’une place par rapport au classement 2017. Il est donc primordial d’effectuer de multiples contrôles avant de lancer une requête sur votre base de données si celle-ci contient des éléments fournis par le client, ou d’utiliser une API qui le fait pour vous.

Liens utiles

La documentation de PHP : http://php.net/

La documentation de MySQL : http://www.mysql.fr/

La documentation d’Apache2 : http://httpd.apache.org/

De bons tutoriels sur les expressions régulières et l’URL Rewriting : http://g-rossolini.ftp-developpez.com/tutoriels/

Des éléments sur l’injection SQL :

https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/ ...