À propos de la sécurité des applications Web

La sécurité des applications Web est importante pour toute entreprise. Découvrez les vulnérabilités d'application Web courantes et comment les atténuer.

Share facebook icon linkedin icon twitter icon email icon

Sécurité des applications Web

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Apprenez les concepts de base de la sécurité des applications Web
  • Explorez les failles / exploits courants des applications Web
  • Comprendre les méthodes courantes d'atténuation des menaces

À propos de la sécurité des applications Web

Sécurité des applications Web

La sécurité des applications Web est un élément central de toute entreprise Web. La nature mondiale d'Internet expose les propriétés Web aux attaques à partir de différents emplacements et à différents niveaux d'échelle et de complexité. La sécurité des applications Web concerne spécifiquement la sécurité des sites Web, des applications Web et des services Web tels que les API.

Quelles sont les failles de sécurité courantes des applications Web ?

Les attaques contre les applications Web vont de la manipulation ciblée de bases de données à des perturbations de réseau à grande échelle. Explorons quelques-unes des méthodes d'attaque ou « vecteurs » couramment utilisés.

  • Cross site scripting (XSS) - XSS est une faille qui permet à un pirate d'injecter des scripts côté client dans une page Web afin d'accéder directement à des informations importantes, usurper l'identité de l'utilisateur ou inciter l'utilisateur à révéler des informations importantes.
  • Injection SQL (SQi) - SQi est une méthode par laquelle un pirate exploite des failles dans la façon dont une base de données exécute des requêtes de recherche. Les pirates utilisent le SQi pour accéder à des informations non autorisées, modifier ou créer de nouvelles autorisations utilisateur, ou autrement manipuler ou détruire des données sensibles.
  • Attaques par déni de service (DoS) et déni de service distribué (DDoS) - Par le biais de divers mécanismes, les pirates peuvent surcharger un serveur ciblé ou son infrastructure environnante avec différents types de trafic d'attaque. Lorsqu'un serveur n'est plus en mesure de traiter efficacement les requêtes entrantes, il devient lent et peut refuser de répondre aux requêtes entrantes d'utilisateurs légitimes.
  • Corruption de la mémoire - La corruption de la mémoire se produit lorsqu'un emplacement de la mémoire est modifié involontairement, ce qui peut entraîner un comportement inattendu dans le logiciel. Les pirates tenteront de détecter et d'exploiter la corruption de la mémoire par des pratiques telles que des injections de code ou des attaques par dépassement de la mémoire tampon.
  • Dépassement de la mémoire tampon - Le dépassement de la mémoire tampon est une anomalie qui se produit lorsque le logiciel écrit des données dans un espace défini dans la mémoire appelé tampon. Le dépassement de la capacité de la mémoire tampon entraîne le remplacement des espaces de mémoire adjacents par des données. Ce comportement peut être exploité pour injecter un code malveillant dans la mémoire, en créant potentiellement une faille dans la machine ciblée.
  • Falsification de requête inter-site (CSRF) - La falsification de requête inter-site consiste à inciter une victime à envoyer une requête qui utilise ses identifiants ou son autorisation. En tirant parti des privilèges de compte d'un utilisateur, un pirate peut envoyer une requête en se faisant passer pour l'utilisateur. Une fois le compte d'un utilisateur volé, le pirate peut exfiltrer, détruire ou modifier des informations importantes. Les comptes les plus importants tels que ceux des administrateurs ou des cadres sont généralement ciblés.
  • Fuite de données - Différente des vecteurs d'attaque spécifiques, une fuite de données est un terme général se référant à la divulgation d'informations sensibles ou confidentielles, et peut se produire par des actions malveillantes ou par erreur. Les atteintes aux données ont une portée assez large et peuvent toucher quelques dossiers précieux ou des millions de comptes d'utilisateurs.

Quelles sont les meilleures pratiques pour atténuer les failles ?

Les étapes importantes de la protection des applications Web contre l'exploitation comprennent l'utilisation d'un chiffrement à jour, nécessitant une authentification appropriée, la correction en continu des failles découvertes et une bonne hygiène de développement logiciel. La réalité est que des pirates intelligents peuvent trouver des failles même dans un environnement de sécurité assez robuste, et une stratégie de sécurité globale est recommandée.

La sécurité des applications Web peut être améliorée en protégeant contre les attaques DDoS, Application Layer et DNS :

WAF - Protégé contre les attaques de couche d'application

Un pare-feu d'application Web ou WAF permet de protéger une application Web contre le trafic HTTP malveillant. En plaçant une barrière de filtration entre le serveur ciblé et le pirate, le WAF est en mesure de protéger contre les attaques telles que le cross site forgery, le cross site scripting et l'injection SQL. En savoir plus sur le WAF de Cloudflare. En plaçant une barrière de filtration entre le serveur ciblé et le pirate, le WAF est en mesure de garantir une protection contre les attaques telles que la falsification de requête inter-site, les attaques sur les éléments dynamiques et l'injection SQL. En savoir plus sur le WAF de Cloudflare.

DDOS Comment fonctionne un WAF

Atténuation DDoS

Les attaques par déni de service distribué ou DDoS sont l'une des méthodes couramment utilisées pour perturber une application Web. Cloudflare atténue les attaques DDoS grâce à une variété de stratégies, notamment la baisse du trafic d'attaque volumétrique à notre périphérie et l'utilisation de notre réseau Anycast pour acheminer correctement les demandes légitimes sans perte de service. Découvrez comment Cloudflare peut vous aider à protéger une propriété Web contre les attaques DDoS.

Amplification DNS animation d'attaque DDoS

Sécurité DNS - Protection DNSSEC

Le DNS (Domain Name System) est le répertoire téléphonique d'Internet et représente la manière dont un outil Internet tel qu'un navigateur Web recherche le bon serveur. Les pirates tenteront de détourner ce processus de demande DNS via l'empoisonnement du cache DNS, les attaques intermédiaires et d'autres moyens d'interférer avec le cycle de vie de recherche DNS. Si DNS est le répertoire téléphonique d'Internet, alors DNSSEC est un identifiant d'appel qu'il est impossible d'usurper. Découvrez comment vous pouvez protéger une recherche DNS à l'aide de Cloudflare..