book

Sécurité des applications Web

by Andrew Hoffman

November 2024

Intermediate to advanced

330 pages

9h 24m

French

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Connaissances préalables et objectifs d'apprentissageContexte suggéréCompétences minimales requisesQui bénéficiera le plus de la lecture de ce livre ?Ingénieurs en logiciel et développeurs d'applications WebObjectifs généraux d'apprentissageIngénieurs en sécurité, Pen Testers et chasseurs de bugsComment ce livre est-il organisé ?ReconInfractionDéfenseLangue et terminologieRésuméConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacter
Les origines du piratage informatiqueLa machine Enigma, vers 1930Déchiffrage automatisé du code Enigma, vers 1940Présentation de la "Bombe"Téléphone "Phreaking", vers 1950Technologie anti-fraude, vers 1960Les origines du piratage informatique, vers 1980L'essor du World Wide Web, vers l'an 2000Les pirates informatiques à l'ère moderne, vers 2015+.Résumé
Collecte d'informationsCartographie des applications WebRésumé
Applications Web modernes ou anciennesAPI RESTNotation d'objets JavaScriptJavaScriptVariables et champ d'applicationFonctionsContexteHéritage prototypiqueAsynchronieDOM du navigateurCadres SPASystèmes d'authentification et d'autorisationAuthentificationAutorisationServeurs WebBases de données côté serveurMagasins de données côté clientRésumé
Plusieurs applications par domaineLes outils d'analyse de réseau intégrés au navigateurProfiter des archives publiquesCaches des moteurs de rechercheArchives accidentellesInstantanés sociauxAttaques de transfert de zoneForcer les sous-domainesAttaques de dictionnairesRésumé
Découverte des points finauxMécanismes d'authentificationFormes de l'extrémitéFormes courantesFormes spécifiques à l'applicationRésumé
Détecter les structures côté clientDétecter les cadres SPADétection des bibliothèques JavaScriptDétection des bibliothèques CSSDétecter les structures côté serveurDétection de l'en-têteMessages d'erreur par défaut et pages 404Détection de base de donnéesRésumé
Signaux d'architecture sécurisés ou non sécurisésPlusieurs niveaux de sécuritéAdoption et réinventionRésumé

L'état d'esprit du hackerApplied Recon
Découverte et exploitation de XSSXSS stockéXSS réfléchiXSS basé sur DOMXSS par mutationRésumé
Falsification des paramètres de la requêteAutres charges utiles GETCSRF contre les points de terminaison POSTRésumé
Direct XXEIndirect XXERésumé
Injection SQLInjection de codeInjection de commandeRésumé
DoS par regex (ReDoS)Vulnérabilités logiques DoSDoS distribuéRésumé
Méthodes d'intégrationBranches et fourchesIntégrations d'applications auto-hébergéesIntégration du code sourceGestionnaires de paquetsJavaScriptJavaAutres languesBase de données des vulnérabilités et expositions communesRésumé
Architecture logicielle défensiveExamens complets du codeDécouverte des vulnérabilitésAnalyse de la vulnérabilitéGestion de la vulnérabilitéTest de régressionStratégies d'atténuationTechniques appliquées de reconnaissance et d'attaque
Analyser les besoins en fonctionnalitésAuthentification et autorisationSecure Sockets Layer et Transport Layer SecuritySécuriser les informations d'identificationHacher les informations d'identification2FAIIP et données financièresRechercheRésumé
Comment commencer un examen du codeVulnérabilités archétypiques contre bogues logiques personnalisésOù commencer un examen de la sécuritéAnti-modèles de codage sécuriséListes noiresCode modèleAnti-modèle de confiance par défautSéparation client/serveurRésumé
Automatisation de la sécuritéAnalyse statiqueAnalyse dynamiqueTest de régression des vulnérabilitésProgrammes de divulgation responsableProgrammes de récompenses pour les boguesTest de pénétration par un tiersRésumé
Reproduire les vulnérabilitésClassement de la gravité de la vulnérabilitéSystème commun d'évaluation des vulnérabilitésCVSS : Notation de baseCVSS : Notation temporelleCVSS : Evaluation de l'environnementÉvaluation avancée des vulnérabilitésAu-delà du triage et de la notationRésumé
Meilleures pratiques de codage anti-XSSAssainissement des données de l'utilisateurDOMParser SinkSVG SinkL'évier BlobAssainissement des hyperliensEncodage des entités HTMLCSSPolitique de sécurité du contenu pour la prévention des XSSSource du scriptEval et Inline non sécurisésMise en place d'un CSPRésumé
Vérification de l'en-têteJetons CSRFJetons CSRF sans état d'âmeMeilleures pratiques de codage anti-CRSFRequêtes GET sans étatAtténuation du CSRF à l'échelle de l'applicationRésumé
Évaluation d'autres formats de donnéesRisques XXE avancésRésumé
Atténuer les risques d'injection SQLDétecter une injection SQLDéclarations préparéesDéfenses spécifiques aux bases de donnéesDéfenses génériques contre les injectionsCibles potentielles d'injectionPrincipe de moindre autoritéCommandes de liste blancheRésumé
Protection contre les attaques de type Regex DoSProtection contre les attaques logiques par déni de serviceProtéger contre les DDoSAtténuation des DDoSRésumé
Évaluation des arbres de dépendanceModélisation d'un arbre de dépendanceLes arbres de dépendance dans le monde réelÉvaluation automatiséeTechniques d'intégration sécuriséeSéparation des préoccupationsGestion sécurisée des paquetsRésumé
L'histoire de la sécurité des logicielsReconnaissance des applications WebInfractionDéfense

Content preview from Sécurité des applications Web

Chapitre 2. Introduction à la reconnaissance des applications Web

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Web La reconnaissance d'application fait référence à la phase exploratoire de collecte de données qui se produit généralement avant le piratage d'une application Web. La reconnaissance des applications Web est généralement effectuée par des pirates, des pen testers ou des chasseurs de bogues, mais elle peut aussi être un moyen efficace pour les ingénieurs en sécurité de trouver des mécanismes faiblement sécurisés dans une application Web et de les corriger avant qu'un acteur malveillant ne les trouve. Les compétences en matière de reconnaissance (recon) n'ont pas de valeur significative en elles-mêmes, mais elles deviennent de plus en plus précieuses lorsqu'elles sont associées à des connaissances en piratage offensif et à de l'expérience en ingénierie de sécurité défensive.

Collecte d'informations

Nous savons déjà que la reconnaissance consiste à acquérir une connaissance approfondie d'une application avant de tenter de la pirater. Nous savons également que la reconnaissance est un élément essentiel de la boîte à outils d'un bon pirate informatique. Mais jusqu'à présent, nos connaissances en matière de reconnaissance s'arrêtent à peu près là. Nous allons donc réfléchir à des raisons plus techniques qui expliquent l'importance de la reconnaissance.

Avertissement

De nombreuses techniques ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Start your free trial

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

Publisher Resources

ISBN: 9798341620490

Sécurité des applications Web

by Andrew Hoffman

Chapitre 2. Introduction à la reconnaissance des applications Web

Collecte d'informations

Avertissement

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Chapitre 2. Introduction à la reconnaissance des applications Web

Collecte d'informations

Avertissement

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.