À propos de la sécurité des applications Web

La sécurité des applications Web est importante pour toute entreprise. Découvrez les vulnérabilités d'application Web courantes et comment les atténuer.

Share facebook icon linkedin icon twitter icon email icon

Sécurité des applications Web

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Apprenez les concepts de base de la sécurité des applications Web
  • Explorez les failles / exploits courants des applications Web
  • Comprendre les méthodes courantes d'atténuation des menaces

À propos de la sécurité des applications Web

Web Application Security

La sécurité des applications Web est un élément central de toute entreprise Web. La nature mondiale d'Internet expose les propriétés Web aux attaques à partir de différents emplacements et à différents niveaux d'échelle et de complexité. La sécurité des applications Web concerne spécifiquement la sécurité des sites Web, des applications Web et des services Web tels que les API.

Quelles sont les failles de sécurité courantes des applications Web ?

Les attaques contre les applications Web vont de la manipulation ciblée de bases de données à des perturbations de réseau à grande échelle. Explorons quelques-unes des méthodes d'attaque ou « vecteurs » couramment utilisés.

  • Cross site scripting (XSS) - XSS est une faille qui permet à un pirate d'injecter des scripts côté client dans une page Web afin d'accéder directement à des informations importantes, usurper l'identité de l'utilisateur ou inciter l'utilisateur à révéler des informations importantes.
  • Injection SQL (SQi) - SQi est une méthode par laquelle un pirate exploite des failles dans la façon dont une base de données exécute des requêtes de recherche. Les pirates utilisent le SQi pour accéder à des informations non autorisées, modifier ou créer de nouvelles autorisations utilisateur, ou autrement manipuler ou détruire des données sensibles.
  • Attaques par déni de service (DoS) et déni de service distribué (DDoS) - Grâce à une variété de vecteurs, les pirates peuvent surcharger un serveur ciblé ou son infrastructure environnante avec différents types de trafic d'attaque. Lorsqu'un serveur n'est plus en mesure de traiter efficacement les demandes entrantes, il commence à être lent et éventuellement refuser le service aux demandes entrantes d'utilisateurs légitimes.
  • Corruption de la mémoire - La corruption de la mémoire se produit lorsqu'un emplacement en mémoire est modifié involontairement, ce qui peut entraîner un comportement inattendu dans le logiciel. Les pirates tenteront de détecter et d'exploiter la corruption de la mémoire par des pratiques telles que des injections de code ou des attaques par dépassement de la mémoire tampon.
  • Dépassement de la mémoire tampon - Le dépassement de la mémoire tampon est une anomalie qui se produit lorsque le logiciel écrit des données dans un espace défini dans la mémoire appelé tampon. Dépasser la capacité de la mémoire tampon entraîne le remplacement des espaces de mémoire adjacents par des données. Ce comportement peut être exploité pour injecter un code malveillant dans la mémoire, créant potentiellement une faille dans la machine ciblée.
  • Cross-site request forgery (CSRF) - Le Cross-site request forgery consiste à inciter une victime à faire une demande qui utilise son authentification ou son autorisation. En tirant parti des privilèges de compte d'un utilisateur, un pirate peut envoyer une demande se faisant passer pour l'utilisateur. Une fois le compte d'un utilisateur compromis, le pirate peut exfiltrer, détruire ou modifier des informations importantes. Les comptes d'une haute importance tels que les administrateurs ou les cadres sont généralement ciblés.
  • Fuite de
  • données - Différente des vecteurs d'attaque spécifiques, une fuite de données est un terme général se référant à la divulgation d'informations sensibles ou confidentielles, et peut se produire par des actions malveillantes ou par erreur. La portée de ce qui est considéré comme une fuite de données est assez large et peut consister en quelques enregistrements très précieux jusqu'à des millions de comptes d'utilisateurs exposés.

Quelles sont les meilleures pratiques pour atténuer les failles ?

Les étapes importantes de la protection des applications Web contre l'exploitation comprennent l'utilisation d'un chiffrement à jour, nécessitant une authentification appropriée, la correction en continu des failles découvertes et une bonne hygiène de développement logiciel. La réalité est que des pirates intelligents peuvent trouver des failles même dans un environnement de sécurité assez robuste, et une stratégie de sécurité globale est recommandée.

La sécurité des applications Web peut être améliorée en protégeant contre les attaques DDoS, Application Layer et DNS :

WAF - Protégé contre les attaques de couche d'application

Un pare-feu d'application Web ou WAF permet de protéger une application Web contre le trafic HTTP malveillant. En plaçant une barrière de filtration entre le serveur ciblé et le pirate, le WAF est en mesure de protéger contre les attaques telles que le cross site forgery, le cross site scripting et l'injection SQL. En savoir plus sur le WAF de Cloudflare.

DDOS How A WAF Works

Atténuation DDoS

Les attaques par déni de service distribué ou DDoS sont l'une des méthodes couramment utilisées pour perturber une application Web. Cloudflare atténue les attaques DDoS grâce à une variété de stratégies, notamment la baisse du trafic d'attaque volumétrique à notre périphérie et l'utilisation de notre réseau Anycast pour acheminer correctement les demandes légitimes sans perte de service. Découvrez comment Cloudflare peut vous aider à protéger une propriété Web contre les attaques DDoS.

DNS Amplification DDoS attack animation

Sécurité DNS - Protection DNSSEC

Le DNS (Domain Name System) est le répertoire téléphonique d'Internet et représente la manière dont un outil Internet tel qu'un navigateur Web recherche le bon serveur. Les pirates tenteront de détourner ce processus de demande DNS via l'empoisonnement du cache DNS, les attaques intermédiaires et d'autres moyens d'interférer avec le cycle de vie de recherche DNS. Si DNS est le répertoire téléphonique d'Internet, alors DNSSEC est un ID d'appelant qu'on ne peut pas usurper. Découvrez comment vous pouvez protéger une recherche DNS à l'aide de Cloudflare.