Présentations du Tutojres de février 2010 "sécurité des sites web"

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 06/03/10
  • Correction mineure : 15/03/11
Mots-clés

Présentations du Tutojres de février 2010 "sécurité des sites web"

Ce tutoJRES n°12 était consacré à la sécurité des sites Web. Il s'adressait tant aux administrateurs système qu'aux développeurs.
Le programme présenté était le suivant :

  • Typologie des menaces Magali Contensin (IBDML)
    Les différentes menaces et méthodes d'attaque sur les applications web.
  • Les outils de détection de vulnérabilités Magali Contensin (IBDML)
    Kai Poutrain (LIF)
    Une synthèse avec avantages et inconvénients des différents outils permettant de détecter des vulnérabilités dans les applications web. Analyse dynamique (on essaie de corrompre un site web en fonctionnement), analyse statique (on analyse le code source de l'application), prise d'empreintes. La présentation n'est pas disponible pour des raisons de confidentialité. Une recommandation toutefois, ne jamais effectuer des tests d'intrusion sur un site en production.
  • Détection d'incidents Web Christophe Dubois (CERTA)
    Xavier Marronnier (CERT-Renater)
    Les sources, les méthodes utilisées pour détecter des sites compromis. La présentation n'est pas disponible pour des raisons de confidentialité. La recommandation forte est d'appliquer les correctifs de sécurité.

  • Maintenir une configuration Apache en production Jacquelin Charbonnel (LAREMA)
    Comment configurer Apache ? Les pièges à éviter.

  • mod_security, reverse proxy Thierry Dostes (IMM)
    Un serveur Apache avec mod_security est de fait un pare-feu applicatif web (WAF) à base d'outils libres, fonctionne sur la base de listes noires régulièrement mises à jour. Architecture à mettre en place, installation et configuration de l'outil. Un vrai plus en matière de sécurité.
  • Bonnes pratiques PHP/MySQL Magali Contensin (IBDML)
    Les règles que doivent suivre les développeurs pour produire un code sûr. La principale : vérifier toutes les données en entrée et en sortie.

  • Développement et sécurité : choix dans le logiciel Sympa David Verdin (CRU)
    Une appréciation des risques (vol de listes d'adresses, détournement du gestionnaire de listes pour envoi de spam) a conduit à la mise en places de mesures de sécurité. Choix technologiques, difficultés rencontrées.

  • Etude de la pertinence et de l'intérêt des appliances IPS web à l'INRIA Philippe Lecler (INRIA)
    Un pare-feu applicatif web (WAF) peut-il répondre aux besoins d'un organisme de recherche ? Processus de sélection d'un produit, mise en place d'un pilote avec du matériel prêté, mécanisme d'auto-apprentissage, un bilan plutôt positif, par contre le coût peut faire hésiter.

A noter que les présentations sont disponibles sur le site http://www.jres.org/tuto/tuto12/index, sauf la deuxième et la troisième pour des raisons de confidentialité et les videos devraient être mises en ligne prochainement.