Flux rss
Ils ont besoin de votre aide
Collection CommentÇaMarche.net
Mail-bombing

Attaques de serveurs web

Falsification de la saisie
Bookmark Ajouter aux favoris / Partager
Attacchi di server web Ataque de servidores web Angriffe auf Web-Server Ataques al servidor Web Web server attacks

Vulnérabilité des services web

Les premières attaques réseau exploitaient des vulnérabilités liées à l'implémentation des protocoles de la suite TCP/IP. Avec la correction progressive de ces vulnérabilités les attaques se sont décalées vers les couches applicatives et en particulier le web, dans la mesure où la plupart des entreprises ouvrent leur système pare-feu pour le traffic destiné au web.

Le protocole HTTP (ou HTTPS) est le standard permettant de véhiculer les pages web par un mécanisme de requêtes et de réponses. Utilisé essentiellement pour transporter des pages web informationnelles (pages web statiques), le web est rapidement devenu un support interactif permettant de fournir des services en ligne. Le terme
d'« application web » désigne ainsi toute application dont l'interface est accessible à travers le web à l'aide d'un simple navigateur. Devenu le support d'un certain nombre de technologies (SOAP, Javascript, XML RPC, etc.), le protocole HTTP possède désormais un rôle stratégique certain dans la sécurité des systèmes d'information.

Dans la mesure où les serveurs web sont de plus en plus sécurisés, les attaques se sont progressivement décalées vers l'exploitation des failles des applications web.

Ainsi, la sécurité des services web doit être un élément pris en compte dès leur conception et leur développement.

Types de vulnérabilités

Vulnérabilités des applications web


Les vulnérabilités des applications web peuvent être catégorisées de la manière suivante :
  • Vulnérabilités du serveur web. Ce type de cas est de plus en plus rare car au fur et à mesure des années les principaux développeurs de serveurs web ont renforcé leur sécurisation ;
  • Manipulation des URL, consistant à modifier manuellement les paramètres des URL afin de modifier le comportement attendu du serveur web ;
  • Exploitation des faiblesses des identifiants de session et des mécanismes d'authentification ;
  • Injection de code HTML et Cross-Site Scripting ;
  • Injection de commandes SQL.

La nécessaire vérification des données d'entrée

Le protocole HTTP est par nature prévu pour gérer des requêtes, c'est-à-dire recevoir des données en entrée et envoyer des données en retour. Les données peuvent être envoyées de diverses façons :
  • Via l'URL de la page web
  • Dans les en-têtes HTTP
  • Dans le corps de la requête (requête POST)
  • Via un cookie



Le principe de base à retenir d'une manière générale lors de tout développement informatique est qu'il ne faut pas faire confiance aux données envoyées par le client.

Ainsi, la quasi-totalité des vulnérabilités des services web est liée aux négligences des concepteurs, ne faisant pas de vérifications sur le format des données saisies par les utilisateurs.

Impact des attaques web

Les attaques à l'encontre des applications web sont toujours nuisibles car elles donnent une mauvaise image de l'entreprise. Les conséquences d'une attaque réussie peuvent notamment être une des suivantes :
  • Défacement de site web ;
  • Vol d'informations ;
  • Modification de données, notamment modification de données personnelles d'utilisateurs ;
  • Intrusion sur le serveur web.


Dernière modification le dimanche 9 novembre 2008 à 22:56:26.Ce document intitulé « Attaques de serveurs web » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Installation d'un serveur Web sous Linux (Apache, PHP et MySQL) Introduction Un serveur web est un logiciel permettant de rendre accessibles à de nombreux ordinateurs (les clients) des pages web stockées sur le disque. Cette fiche pratique explique comment installer le serveur web Apache sur un système de type... www.commentcamarche.net/contents/php/phpinst.php3
[Web] Un minuscule serveur web sous Windows Le plus petit serveur web sous Windows: 28 ko ! C'est TinyWeb. Malgré sa petite taille, il fonctionne très bien et il est très rapide. Avantages: Pas d'installation nécessaire (un seul fichier) Ultra-compact (59 ko seulement ! Compacté... www.commentcamarche.net/faq/sujet-4500-web-un-minuscule-serveur-web-sous-windows
Accès serveur Web sous Virtualbox (Résolu) Bonjour, J'utilise Virtualbox pour exécuter Fedora 7 avec le serveru web Apache sur mon poste winXP. Ma VirtualBox fonctionne correctement. Le réseau est bien défini. Depuis FireFox sous Fedora7, j'accède à internet. Mon serveur Apache est démarré.... www.commentcamarche.net/forum/affich-3679629-acces-serveur-web-sous-virtualbox
Linux - Administrer les imprimantes via un serveur WEB (CUPS)CUPS (Common Unix Printing System) propose un serveur WEB pour administrer les imprimantes : http://localhost:631/ Ce serveur peut être utile lorsque les outils graphiques proposés par les distributions ne fonctionnent pas. www.commentcamarche.net/faq/sujet-15124-linux-administrer-les-imprimantes-via-un-serveur-web-cups
[Apache] Analyse du trafic web en temps réelLe serveur web Apache possède des outils natifs permettant d'analyser le trafic web : - Les fichiers journaux (logs), exploitables par des logiciels spécialisés afin de dresser une analyse complète de la fréquentation - La sortie "server-status" que... www.commentcamarche.net/faq/sujet-841-apache-analyse-du-trafic-web-en-temps-reel
CMS Open Source : Gérer facilement un site web professionnelLes CMS, ou systèmes de gestion de contenu sont devenus des outils privilégiés pour le développement des sites web professionnels. En effet, ce type de logiciels permet d'animer et d'administrer un site internet sans connaissance technique... www.commentcamarche.net/faq/sujet-16717-cms-open-source-gerer-facilement-un-site-web-professionnel
Résultats pour Attaques de serveurs web
Serveur Web + Adresse IP dynamique (Résolu)Bonjour, Comme le titre du message le decrit, j'ai petit plan mais j'ai besion de quelques information. J'aimerai heberger mon site web localemment soit à travers Apache ou IIS ou n'iimporte serveur web mais sans avgoir une adresse fixe pour mon... www.commentcamarche.net/forum/affich-4832514-serveur-web-adresse-ip-dynamique
Server Web PHP/MySQL sous Windows Server 2003slt je suis sous Windows Server 2003 et je veus faire un server web comme easyphp mais le bleme c que easyphp ne marche pas sous Windows Server 2003. Je pence qu'il on fait expré. Merci pour toute reponses www.commentcamarche.net/forum/affich-739048-server-web-php-mysql-sous-windows-server-2003
Emule : serveur web inactif comment faire ?Bonjour, je n arrive pas a activer le serveur web sur emule comment dois je faire ? merci ... www.commentcamarche.net/forum/affich-6952213-emule-serveur-web-inactif-comment-faire
Résultats pour Attaques de serveurs web
Webmastering - Introduction à la création de pages webNotion de site web Un site web (aussi appelé site internet par abus de langage) est un ensemble de fichiers HTML, liés par des liens hypertextes, stockés sur un serveur web, c'est-à-dire un ordinateur connecté en permanence à internet, hébergeant... www.commentcamarche.net/contents/web/webintro.php3
Intranet et ExtranetIntranet Un intranet est un ensemble de services internet (par exemple un serveur web) internes à un réseau local, c'est-à-dire accessibles uniquement à partir des postes d'un réseau local, ou bien d'un ensemble de réseaux bien définis, et... www.commentcamarche.net/contents/entreprise/intranet.php3
Introduction à la programmation des CGIPrésentation de l'interface CGI Un script CGI (Common Gateway Interface, traduisez interface de passerelle commune) est un programme exécuté par le serveur web (on dit généralement « côté serveur »), permettant d'envoyer au navigateur de... www.commentcamarche.net/contents/cgi/cgiintro.php3
Résultats pour Attaques de serveurs web