IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment travaillez-vous la sécurité dans vos applications web ?
Par audit, avec des outils automatiques, ou des frameworks ?

Le , par imikado

6PARTAGES

Encore aujourd'hui, bon nombre de sites web contiennent des failles plus ou moins importantes: du Xss/Css* à l'injection sql* en passant par le Xsrf/Csrf* ou le nullbyte*.

Certains framework proposent des solutions pour se protéger de quelques une de ses failles (filtres, prepare statement...) mais il faut le plus souvent penser à les utiliser.

Même si en tant que développeurs on a plus ou moins connaissance de ce type de failles, nous ne sommes pas à l'abris d'un oubli ou d'une exploitation à laquelle on aurait pas pensé.

Afin de se prémunir de ce genre de faille, vous pouvez selon votre budget :
  1. Demander un audit de sécurité de votre application à une société, celle-ci peut à la fois vérifier l'application sans compte de connexion (pour tenter de forcer l'authentification, le XSS, sql injection...) mais également avec un compte pour tester en plus le XSRF et l'isolation des données. L'infrastructure peut également faire l'objet d'un audit (non affichage des informations sur les versions des serveurs, ports ouverts...)
  2. Utiliser certains outils automatiques (gratuit ou payant) comme Acunetix, Xsser ou Xelenium, malheureusement ceux-ci sont souvent plus ou moins limités et ne permettent pas de tester l'isolation des données*
  3. Spécialiser un ou plusieurs développeurs dans votre service afin que ceux-ci fassent des audits de sécurités sur les applications qu'ils n'ont pas développé.


Et vous ?

Quels solutions avez-vous choisi pour sécuriser vos applications web ?

Notes de bas de page :

*isolation des données: le compte 1 ne doit pas voir/modifier/supprimer les données du compte 2 en modifiant l'url (toujours vérifié le propriétaire des données affichées/modifiées)
*Xss/Css : Cross-site Scripting
*Xsrf/Csrf : Cross-site Request Forgery Cross-site_request_forgery
*nullbyte injection

Une erreur dans cette actualité ? Signalez-nous-la !