Conclusion
L’objectif de ce chapitre était de
vous faire prendre conscience des problèmes de sécurité que
nous pouvons rencontrer sur le Web. Nous ne vous en avons donné qu’un
petit aperçu. Comme nous l’avons évoqué,
il existe tellement de situations, de langages, de serveurs, qu’il
faudrait plusieurs livres pour tout aborder. Mais si, après
la lecture de cette partie, vous avez à l’esprit qu’il
faut filtrer tout ce qui vient du client et ne pas négliger
la configuration du serveur, notre objectif est atteint.
Les deux attaques les plus dangereuses classées
par l’OWASP en 2010 sont les injections et l’authentification
ainsi que la gestion des sessions, ensuite viennent les
attaques XSS qui sont descendues d’une place par rapport
au classement 2017. Il est donc primordial d’effectuer
de multiples contrôles avant de lancer une requête
sur votre base de données si celle-ci contient des éléments
fournis par le client, ou d’utiliser une API qui le fait
pour vous.
Liens utiles
La documentation de PHP : http://php.net/
La documentation de MySQL : http://www.mysql.fr/
La documentation d’Apache2 : http://httpd.apache.org/
De bons tutoriels sur les expressions régulières
et l’URL Rewriting : http://g-rossolini.ftp-developpez.com/tutoriels/
Des éléments sur l’injection
SQL :
https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/ ...