46 liens privés
L'article explique comment protéger les sites WordPress contre les attaques par injection SQL, une méthode couramment utilisée par les hackers pour accéder aux bases de données. Les sites WordPress, représentant 43% des sites web, sont des cibles privilégiées en raison de leur popularité. Une injection SQL peut endommager un site, voler des données et verrouiller l'accès administrateur. Pour se protéger, il est crucial de valider les entrées utilisateur, éviter le SQL dynamique, mettre à jour régulièrement les thèmes et plugins, utiliser un pare-feu, cacher la version de WordPress, personnaliser les messages d'erreur de la base de données, limiter les permissions des rôles utilisateurs, activer l'authentification à deux facteurs, supprimer les fonctions inutiles de la base de données, surveiller l'activité du site et effectuer des sauvegardes régulières. En cas d'attaque, il faut vérifier la base de données, supprimer le code malveillant, restaurer une sauvegarde propre, changer tous les mots de passe et renforcer la sécurité du site.
L'article de Smashing Magazine explore comment l'OWASP (Open Web Application Security Project) aide à sécuriser les applications web full-stack en se concentrant sur les dix principales vulnérabilités identifiées par l'OWASP. Voici un résumé des points clés abordés :
-
Introduction à l'OWASP Top 10 :
- L'OWASP Top 10 est une liste des vulnérabilités les plus courantes, compilée par des experts en sécurité. Elle sert de guide pour les développeurs web cherchant à renforcer la sécurité de leurs applications.
-
Vulnérabilités Présentées :
- Server-Side Request Forgery (SSRF) : Permet à un attaquant d'exploiter le serveur pour effectuer des requêtes non autorisées.
- Échecs de Journalisation et de Surveillance de la Sécurité : Importance de la journalisation des transactions critiques pour détecter et corriger les problèmes de sécurité.
- Échecs de l'Intégrité des Logiciels et des Données : Risques liés aux attaques de la chaîne d'approvisionnement et aux dépendances obsolètes.
- Échecs d'Identification et d'Authentification : Prévention des attaques par force brute et importance des pare-feu d'applications web (WAF).
- Composants Vulnérables et Obsolètes : Nécessité de maintenir les dépendances à jour pour éviter les vulnérabilités connues.
- Mauvaise Configuration de la Sécurité : Importance de configurer correctement les en-têtes HTTP et autres paramètres de sécurité.
- Conception Non Sécurisée : Les mauvaises pratiques de codage peuvent introduire des vulnérabilités difficiles à détecter.
- Injection : Risques liés aux injections SQL et JavaScript, et comment les prévenir.
- Échecs Cryptographiques : Importance de l'utilisation correcte des algorithmes de cryptographie pour protéger les données sensibles.
- Contrôle d'Accès Défectueux : Assurer que les utilisateurs ne peuvent accéder qu'aux ressources autorisées.
-
Conseils Pratiques :
- Utiliser des outils de surveillance et d'analyse pour détecter les vulnérabilités.
- Appliquer des pratiques de codage sécurisé et comprendre les configurations de sécurité.
- Se tenir informé des vulnérabilités courantes et des meilleures pratiques en matière de sécurité.
-
Ressources Supplémentaires :
- L'article fournit des liens vers des ressources supplémentaires pour approfondir chaque vulnérabilité et des outils pour aider à sécuriser les applications web.
L'article met en lumière l'importance de la sécurité dans le développement web et comment l'OWASP Top 10 peut servir de guide pratique pour identifier et atténuer les vulnérabilités courantes dans les applications full-stack.
Présentation d'une faille par injection HTML intéressante (et c'est pas du XSS) et comment s'en prémunir (utiliser DOMPurify)
Tout est dans le titre
Tout est dans le titre (via https://symfony.com/blog/a-week-of-symfony-594-14-20-may-2018 )
Tout est dans le titre
Un tutoriel pour découvrir comment fonctionnent les injections SQL
Tout est dans le titre (PDF à télécharger)
La suite du lien précédent
Des exemples d'attaques par injection possibles