Accueil Finances personnelles Comment minimiser les risques de sécurité Web pour éviter d'être piraté - nuls

Comment minimiser les risques de sécurité Web pour éviter d'être piraté - nuls

Table des matières:

Vidéo: 8 conseils pour réduire les risques de piratage informatique de votre entreprise 2025

Vidéo: 8 conseils pour réduire les risques de piratage informatique de votre entreprise 2025
Anonim

Garder vos applications Web en sécurité nécessite une vigilance constante dans vos efforts de piratage éthique et de la part de vos développeurs et fournisseurs Web. Tenez-vous au courant des dernières astuces, des outils de test et des techniques et faites savoir à vos développeurs et fournisseurs que la sécurité doit être une priorité pour votre organisation.

Vous pouvez acquérir une expérience pratique directe en testant et en piratant des applications Web en utilisant les ressources suivantes:

  • Projet webGoat OWASP

  • Outils Hacme de Foundstone

Sécurité de la sécurité par obscurité

Les formes suivantes de sécurité par obscurité - cacher quelque chose de la vue évidente en utilisant des méthodes triviales - peut aider à empêcher les attaques automatiques de vers ou de scripts codés en dur pour attaquer des types de scripts spécifiques ou des ports HTTP par défaut:

  • Pour protéger les applications Web et les bases de données associées, utilisez différentes machines pour exécuter chaque serveur Web, application et serveur de base de données.

    Les vulnérabilités de sécurité des systèmes d'exploitation de ces machines individuelles doivent être testées et renforcées en fonction des meilleures pratiques.

  • Utilisez les fonctions de sécurité intégrées du serveur Web pour gérer les contrôles d'accès et l'isolation des processus, tels que la fonction d'isolation des applications dans IIS. Cette pratique permet de s'assurer que si une application Web est attaquée, elle ne mettra pas nécessairement en danger d'autres applications s'exécutant sur le même serveur.

  • Utilisez un outil pour obscurcir l'identité de votre serveur Web - anonymiser essentiellement votre serveur. Un exemple est le ServerMask de Port 80 Software.

  • Si vous craignez que des attaques spécifiques à une plateforme soient menées contre votre application Web, vous pouvez faire croire à l'attaquant que le serveur Web ou le système d'exploitation est complètement différent. Voici quelques exemples:

    • Si vous utilisez un serveur et des applications Microsoft IIS, vous pouvez renommer tous vos scripts ASP pour en avoir un. extension cgi.

    • Si vous utilisez un serveur Web Linux, utilisez un programme tel que IP Personality (Personnalité IP) pour modifier l'empreinte du système d'exploitation afin que le système ait l'air d'exécuter autre chose.

  • Modifiez votre application Web pour qu'elle s'exécute sur un port non standard. Remplacez le port HTTP par défaut 80 ou le port HTTPS 443 par un numéro de port élevé, tel que 8877, et, si possible, configurez le serveur pour qu'il fonctionne en tant qu'utilisateur non privilégié - autrement dit, autre que system, administrator, root, etc. sur.

Jamais jamais ne compte sur l'obscurité seule; ce n'est pas infaillible. Un attaquant dédié pourrait déterminer que le système n'est pas ce qu'il prétend être.Pourtant, même avec les opposants, il peut être mieux que rien.

Mettre en place des pare-feu

Envisagez d'utiliser des contrôles supplémentaires pour protéger vos systèmes Web, notamment:

  • Un pare-feu réseau ou IPS capable de détecter et de bloquer les attaques contre les applications Web. Cela inclut les pare-feu commerciaux et les IPS de nouvelle génération disponibles auprès de sociétés telles que SonicWall, Check Point et Sourcefire.

  • Une application Web basée sur l'hôte IPS, telle que SecureIIS ou ServerDefender.

    Ces programmes peuvent détecter les applications Web et certaines attaques de base de données en temps réel et les couper avant qu'ils n'aient la moindre chance de causer des dommages.

Analyser le code source

Le développement de logiciels est l'endroit où les failles de sécurité commencent et devrait se terminer, mais rarement. Si vous êtes confiant dans vos efforts de piratage éthique à ce stade, vous pouvez creuser plus profondément pour trouver des failles de sécurité dans votre code source - des choses qui pourraient ne jamais être découvertes par les scanners traditionnels et les techniques de piratage. Ne crains pas!

C'est en fait beaucoup plus simple que ça en a l'air. Non, vous n'aurez pas à passer par le code ligne par ligne pour voir ce qui se passe. Vous n'avez même pas besoin d'expérience de développement (bien que cela aide).

Pour ce faire, vous pouvez utiliser un outil d'analyse de code source statique, tel que ceux proposés par Veracode et Checkmarx. CxSuite de Checkmarx (plus précisément CxDeveloper) est un outil autonome, à un prix raisonnable et très complet dans ses tests d'applications Web et d'applications mobiles.

Avec CxDeveloper, vous chargez simplement Enterprise Client, vous connectez à l'application (les informations d'identification par défaut sont admin @ cx / admin), exécutez l'assistant Create Scan pour pointer vers le code source et sélectionnez votre stratégie d'analyse, cliquez sur Suivant, cliquez sur Exécuter, et vous êtes en cours d'exécution.

Une fois l'analyse terminée, vous pouvez consulter les résultats et les solutions recommandées.

CxDeveloper est à peu près tout ce dont vous avez besoin pour analyser et signaler les vulnérabilités de votre code source C #, Java et mobile regroupées dans un seul paquet. Checkmarx, tout comme Veracode, propose également un service d'analyse de code source basé sur le cloud. Si vous pouvez surmonter tous les obstacles liés au téléchargement de votre code source vers un tiers, ceux-ci peuvent offrir une option plus efficace et surtout mains libres pour l'analyse du code source.

L'analyse du code source révèle souvent des failles différentes des tests de sécurité Web traditionnels. Si vous voulez le niveau de test le plus complet, faites les deux. Le niveau supplémentaire de contrôle offert par l'analyse des sources devient de plus en plus important avec les applications mobiles. Ces applications sont souvent pleines de failles de sécurité que beaucoup de développeurs de logiciels plus récents n'ont pas appris à l'école.

L'essentiel avec la sécurité Web est que si vous pouvez montrer à vos développeurs et analystes d'assurance qualité que la sécurité commence avec eux, vous pouvez vraiment faire une différence dans la sécurité globale de l'information de votre organisation.

Comment minimiser les risques de sécurité Web pour éviter d'être piraté - nuls

Le choix des éditeurs

Découvrir les Méditations de Pleine Conscience Formelle - les nuls

Découvrir les Méditations de Pleine Conscience Formelle - les nuls

Pour approfondir votre conscience consciente, vous devez pratiquer une méditation de pleine conscience sur une base quotidienne. Familiarisez-vous avec certaines des médiations suivantes. Avec le temps, vous deviendrez plus conscient de votre vie quotidienne. Body Meditation Meditation - Cette méditation implique de passer environ une demi-heure, en prenant conscience de ...

Démystifier Dan Brown: Les Templiers Royaux - les nuls

Démystifier Dan Brown: Les Templiers Royaux - les nuls

Les Templiers sont presque aussi fictifs dans Dan Brown Le code Da Vinci comme les chevaliers Jedi sont dans Star Wars. Bien que le héros Robert Langdon hésite d'abord à élever les Templiers dans ses cours, parce que la mention même d'eux fait ressortir les amants du complot, Brown n'a aucun problème à les faire participer ...

Démystification des mythes communs sur la franc-maçonnerie - mannequins

Démystification des mythes communs sur la franc-maçonnerie - mannequins

La franc-maçonnerie moderne existe depuis 1717. Les premières contre-vérités concoctées sur l'Ordre sont apparues en impression à peu près en même temps. Les États-Unis étaient consumés par l'hystérie anti-maçonnique à la fin des années 1820, et l'Europe a fait de Mason-bashing un sport populaire pendant deux siècles, le liant souvent à la propagande antisémite. Internet n'a que ...

Le choix des éditeurs

À L'aide de la boîte de dialogue Configurer l'affichage dans PowerPoint 2011 pour Mac - témoins

À L'aide de la boîte de dialogue Configurer l'affichage dans PowerPoint 2011 pour Mac - témoins

Dans la boîte de dialogue Configurer l'affichage dans PowerPoint, cliquez sur le bouton Configurer l'affichage dans l'onglet Diaporama du ruban Office 2011 pour Mac, ou choisissez Diaporama → Configurer l'affichage dans la barre de menus. Dans les deux cas, la boîte de dialogue Configurer l'affichage polyvalent apparaît. Choisir un type de spectacle dans PowerPoint 2011 pour Mac ...

Enregistrement des fichiers dans Office 2011 pour Mac - témoins

Enregistrement des fichiers dans Office 2011 pour Mac - témoins

Enregistrement d'un fichier sur lequel vous travaillez dans Office 2011 pour Mac est aussi simple que de cliquer sur le bouton Enregistrer dans la barre d'outils Standard, en appuyant sur Commande-S ou en choisissant Fichier → Enregistrer. Si votre fichier a été enregistré précédemment, l'enregistrement du fichier remplace la copie existante du fichier par votre version mise à jour. Si votre fichier n'a pas ...

Fonctionnant avec les modèles de diapositives maîtres dans PowerPoint 2011 pour Mac - les nuls

Fonctionnant avec les modèles de diapositives maîtres dans PowerPoint 2011 pour Mac - les nuls

Dans Office 2011 pour Mac, l'ajout d'une nouvelle présentation de diapositive à une diapositive dans la vue Diapositive maître de PowerPoint 2011 est une tâche assez simple à effectuer. Suivez ces étapes pour commencer: Assurez-vous que vous êtes en mode Masque des diapositives. Choisissez Affichage → Maître → Masque de diapositives dans la barre de menus. Cliquez sur l'onglet Masque des diapositives du ruban, ...

Le choix des éditeurs

Sélectionnez PowerPoint 2007 Objects - dummies

Sélectionnez PowerPoint 2007 Objects - dummies

Avant de pouvoir modifier un objet PowerPoint 2007 sur une diapositive, vous devez le sélectionner. Dans les présentations PowerPoint, les objets peuvent être du texte, des graphiques, des images clipart, des formes, etc. Voici quelques instructions pour sélectionner les objets PowerPoint 2007: Objets texte: Pour sélectionner un objet texte PowerPoint 2007, déplacez le point d'insertion sur le texte qui ...

Définir le contour de la forme sur une diapositive PowerPoint 2007 - dummies

Définir le contour de la forme sur une diapositive PowerPoint 2007 - dummies

Le contrôle shapePoint de powerPoint vous permet style des objets de ligne ou la bordure pour les objets de forme solide sur vos diapositives PowerPoint. Le contrôle Shape Outline se trouve dans le groupe Styles de formes de l'onglet Outils de dessin. Vous pouvez modifier les paramètres suivants pour le contour: Couleur: Définit la couleur utilisée pour ...

PowerPoint 2016 pour les nuls Cheat Sheet - les nuls

PowerPoint 2016 pour les nuls Cheat Sheet - les nuls

PowerPoint 2016 est le logiciel de présentation le plus puissant disponible pour créer et éditer la diapositive montrer des présentations pour le travail, la maison ou l'école. PowerPoint 2016 offre un certain nombre de raccourcis clavier utiles pour effectuer des tâches rapidement. Voici quelques raccourcis pour le formatage PowerPoint commun, l'édition et les tâches de fichiers et de documents. De plus, après avoir créé votre chef-d'œuvre, vous ...