book

Sécurité des applications Web

by Andrew Hoffman

November 2024

Intermediate to advanced

330 pages

9h 24m

French

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Connaissances préalables et objectifs d'apprentissageContexte suggéréCompétences minimales requisesQui bénéficiera le plus de la lecture de ce livre ?Ingénieurs en logiciel et développeurs d'applications WebObjectifs généraux d'apprentissageIngénieurs en sécurité, Pen Testers et chasseurs de bugsComment ce livre est-il organisé ?ReconInfractionDéfenseLangue et terminologieRésuméConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacter
Les origines du piratage informatiqueLa machine Enigma, vers 1930Déchiffrage automatisé du code Enigma, vers 1940Présentation de la "Bombe"Téléphone "Phreaking", vers 1950Technologie anti-fraude, vers 1960Les origines du piratage informatique, vers 1980L'essor du World Wide Web, vers l'an 2000Les pirates informatiques à l'ère moderne, vers 2015+.Résumé
Collecte d'informationsCartographie des applications WebRésumé
Applications Web modernes ou anciennesAPI RESTNotation d'objets JavaScriptJavaScriptVariables et champ d'applicationFonctionsContexteHéritage prototypiqueAsynchronieDOM du navigateurCadres SPASystèmes d'authentification et d'autorisationAuthentificationAutorisationServeurs WebBases de données côté serveurMagasins de données côté clientRésumé
Plusieurs applications par domaineLes outils d'analyse de réseau intégrés au navigateurProfiter des archives publiquesCaches des moteurs de rechercheArchives accidentellesInstantanés sociauxAttaques de transfert de zoneForcer les sous-domainesAttaques de dictionnairesRésumé
Découverte des points finauxMécanismes d'authentificationFormes de l'extrémitéFormes courantesFormes spécifiques à l'applicationRésumé
Détecter les structures côté clientDétecter les cadres SPADétection des bibliothèques JavaScriptDétection des bibliothèques CSSDétecter les structures côté serveurDétection de l'en-têteMessages d'erreur par défaut et pages 404Détection de base de donnéesRésumé
Signaux d'architecture sécurisés ou non sécurisésPlusieurs niveaux de sécuritéAdoption et réinventionRésumé

L'état d'esprit du hackerApplied Recon
Découverte et exploitation de XSSXSS stockéXSS réfléchiXSS basé sur DOMXSS par mutationRésumé
Falsification des paramètres de la requêteAutres charges utiles GETCSRF contre les points de terminaison POSTRésumé
Direct XXEIndirect XXERésumé
Injection SQLInjection de codeInjection de commandeRésumé
DoS par regex (ReDoS)Vulnérabilités logiques DoSDoS distribuéRésumé
Méthodes d'intégrationBranches et fourchesIntégrations d'applications auto-hébergéesIntégration du code sourceGestionnaires de paquetsJavaScriptJavaAutres languesBase de données des vulnérabilités et expositions communesRésumé
Architecture logicielle défensiveExamens complets du codeDécouverte des vulnérabilitésAnalyse de la vulnérabilitéGestion de la vulnérabilitéTest de régressionStratégies d'atténuationTechniques appliquées de reconnaissance et d'attaque
Analyser les besoins en fonctionnalitésAuthentification et autorisationSecure Sockets Layer et Transport Layer SecuritySécuriser les informations d'identificationHacher les informations d'identification2FAIIP et données financièresRechercheRésumé
Comment commencer un examen du codeVulnérabilités archétypiques contre bogues logiques personnalisésOù commencer un examen de la sécuritéAnti-modèles de codage sécuriséListes noiresCode modèleAnti-modèle de confiance par défautSéparation client/serveurRésumé
Automatisation de la sécuritéAnalyse statiqueAnalyse dynamiqueTest de régression des vulnérabilitésProgrammes de divulgation responsableProgrammes de récompenses pour les boguesTest de pénétration par un tiersRésumé
Reproduire les vulnérabilitésClassement de la gravité de la vulnérabilitéSystème commun d'évaluation des vulnérabilitésCVSS : Notation de baseCVSS : Notation temporelleCVSS : Evaluation de l'environnementÉvaluation avancée des vulnérabilitésAu-delà du triage et de la notationRésumé
Meilleures pratiques de codage anti-XSSAssainissement des données de l'utilisateurDOMParser SinkSVG SinkL'évier BlobAssainissement des hyperliensEncodage des entités HTMLCSSPolitique de sécurité du contenu pour la prévention des XSSSource du scriptEval et Inline non sécurisésMise en place d'un CSPRésumé
Vérification de l'en-têteJetons CSRFJetons CSRF sans état d'âmeMeilleures pratiques de codage anti-CRSFRequêtes GET sans étatAtténuation du CSRF à l'échelle de l'applicationRésumé
Évaluation d'autres formats de donnéesRisques XXE avancésRésumé
Atténuer les risques d'injection SQLDétecter une injection SQLDéclarations préparéesDéfenses spécifiques aux bases de donnéesDéfenses génériques contre les injectionsCibles potentielles d'injectionPrincipe de moindre autoritéCommandes de liste blancheRésumé
Protection contre les attaques de type Regex DoSProtection contre les attaques logiques par déni de serviceProtéger contre les DDoSAtténuation des DDoSRésumé
Évaluation des arbres de dépendanceModélisation d'un arbre de dépendanceLes arbres de dépendance dans le monde réelÉvaluation automatiséeTechniques d'intégration sécuriséeSéparation des préoccupationsGestion sécurisée des paquetsRésumé
L'histoire de la sécurité des logicielsReconnaissance des applications WebInfractionDéfense

Content preview from Sécurité des applications Web

Chapitre 18. Architecture des applications sécurisées

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

La première étape de la sécurisation d'une application web est la phase d'architecture.

Lors de la construction d'un produit, une équipe interfonctionnelle d'ingénieurs en logiciel et de gestionnaires de produits collabore généralement pour trouver un modèle technique qui servira un objectif commercial très spécifique de manière efficace. En génie logiciel, le rôle d'un architecte est de concevoir des modules à un niveau élevé et d'évaluer les meilleurs moyens pour que les modules communiquent entre eux. Cela peut s'étendre à la détermination des meilleures façons de stocker les données, des dépendances tierces sur lesquelles s'appuyer, du paradigme de programmation qui doit prédominer dans la base de code, etc.

De même qu'un architecte de bâtiment, l'architecture logicielle est un processus délicat qui comporte une grande part de risque, car la réarchitecture et le refactoring sont des processus coûteux une fois qu'une application a déjà été construite. L'architecture de sécurité comporte un profil de risque similaire à celui de l'architecture logicielle ou de l'architecture de bâtiment. Souvent, les vulnérabilités peuvent être facilement évitées lors de la phase d'architecture grâce à une planification et une évaluation minutieuses. Cependant, si la planification est insuffisante, le code de l'application ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Start your free trial

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

Publisher Resources

ISBN: 9798341620490

Sécurité des applications Web

by Andrew Hoffman

Chapitre 18. Architecture des applications sécurisées

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Chapitre 18. Architecture des applications sécurisées

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.