book

Sécurité des applications Web

by Andrew Hoffman

November 2024

Intermediate to advanced

330 pages

9h 24m

French

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Connaissances préalables et objectifs d'apprentissageContexte suggéréCompétences minimales requisesQui bénéficiera le plus de la lecture de ce livre ?Ingénieurs en logiciel et développeurs d'applications WebObjectifs généraux d'apprentissageIngénieurs en sécurité, Pen Testers et chasseurs de bugsComment ce livre est-il organisé ?ReconInfractionDéfenseLangue et terminologieRésuméConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacter
Les origines du piratage informatiqueLa machine Enigma, vers 1930Déchiffrage automatisé du code Enigma, vers 1940Présentation de la "Bombe"Téléphone "Phreaking", vers 1950Technologie anti-fraude, vers 1960Les origines du piratage informatique, vers 1980L'essor du World Wide Web, vers l'an 2000Les pirates informatiques à l'ère moderne, vers 2015+.Résumé
Collecte d'informationsCartographie des applications WebRésumé
Applications Web modernes ou anciennesAPI RESTNotation d'objets JavaScriptJavaScriptVariables et champ d'applicationFonctionsContexteHéritage prototypiqueAsynchronieDOM du navigateurCadres SPASystèmes d'authentification et d'autorisationAuthentificationAutorisationServeurs WebBases de données côté serveurMagasins de données côté clientRésumé
Plusieurs applications par domaineLes outils d'analyse de réseau intégrés au navigateurProfiter des archives publiquesCaches des moteurs de rechercheArchives accidentellesInstantanés sociauxAttaques de transfert de zoneForcer les sous-domainesAttaques de dictionnairesRésumé
Découverte des points finauxMécanismes d'authentificationFormes de l'extrémitéFormes courantesFormes spécifiques à l'applicationRésumé
Détecter les structures côté clientDétecter les cadres SPADétection des bibliothèques JavaScriptDétection des bibliothèques CSSDétecter les structures côté serveurDétection de l'en-têteMessages d'erreur par défaut et pages 404Détection de base de donnéesRésumé
Signaux d'architecture sécurisés ou non sécurisésPlusieurs niveaux de sécuritéAdoption et réinventionRésumé

L'état d'esprit du hackerApplied Recon
Découverte et exploitation de XSSXSS stockéXSS réfléchiXSS basé sur DOMXSS par mutationRésumé
Falsification des paramètres de la requêteAutres charges utiles GETCSRF contre les points de terminaison POSTRésumé
Direct XXEIndirect XXERésumé
Injection SQLInjection de codeInjection de commandeRésumé
DoS par regex (ReDoS)Vulnérabilités logiques DoSDoS distribuéRésumé
Méthodes d'intégrationBranches et fourchesIntégrations d'applications auto-hébergéesIntégration du code sourceGestionnaires de paquetsJavaScriptJavaAutres languesBase de données des vulnérabilités et expositions communesRésumé
Architecture logicielle défensiveExamens complets du codeDécouverte des vulnérabilitésAnalyse de la vulnérabilitéGestion de la vulnérabilitéTest de régressionStratégies d'atténuationTechniques appliquées de reconnaissance et d'attaque
Analyser les besoins en fonctionnalitésAuthentification et autorisationSecure Sockets Layer et Transport Layer SecuritySécuriser les informations d'identificationHacher les informations d'identification2FAIIP et données financièresRechercheRésumé
Comment commencer un examen du codeVulnérabilités archétypiques contre bogues logiques personnalisésOù commencer un examen de la sécuritéAnti-modèles de codage sécuriséListes noiresCode modèleAnti-modèle de confiance par défautSéparation client/serveurRésumé
Automatisation de la sécuritéAnalyse statiqueAnalyse dynamiqueTest de régression des vulnérabilitésProgrammes de divulgation responsableProgrammes de récompenses pour les boguesTest de pénétration par un tiersRésumé
Reproduire les vulnérabilitésClassement de la gravité de la vulnérabilitéSystème commun d'évaluation des vulnérabilitésCVSS : Notation de baseCVSS : Notation temporelleCVSS : Evaluation de l'environnementÉvaluation avancée des vulnérabilitésAu-delà du triage et de la notationRésumé
Meilleures pratiques de codage anti-XSSAssainissement des données de l'utilisateurDOMParser SinkSVG SinkL'évier BlobAssainissement des hyperliensEncodage des entités HTMLCSSPolitique de sécurité du contenu pour la prévention des XSSSource du scriptEval et Inline non sécurisésMise en place d'un CSPRésumé
Vérification de l'en-têteJetons CSRFJetons CSRF sans état d'âmeMeilleures pratiques de codage anti-CRSFRequêtes GET sans étatAtténuation du CSRF à l'échelle de l'applicationRésumé
Évaluation d'autres formats de donnéesRisques XXE avancésRésumé
Atténuer les risques d'injection SQLDétecter une injection SQLDéclarations préparéesDéfenses spécifiques aux bases de donnéesDéfenses génériques contre les injectionsCibles potentielles d'injectionPrincipe de moindre autoritéCommandes de liste blancheRésumé
Protection contre les attaques de type Regex DoSProtection contre les attaques logiques par déni de serviceProtéger contre les DDoSAtténuation des DDoSRésumé
Évaluation des arbres de dépendanceModélisation d'un arbre de dépendanceLes arbres de dépendance dans le monde réelÉvaluation automatiséeTechniques d'intégration sécuriséeSéparation des préoccupationsGestion sécurisée des paquetsRésumé
L'histoire de la sécurité des logicielsReconnaissance des applications WebInfractionDéfense

Content preview from Sécurité des applications Web

Chapitre 20. Découverte des vulnérabilités

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Après que code architecturé de manière sécurisée a été conçu, écrit et révisé, un pipeline doit être mis en place pour s'assurer qu'aucune vulnérabilité ne passe à travers les mailles du filet.

Généralement, les applications dotées de la meilleure architecture présentent le moins de vulnérabilités et les vulnérabilités les moins risquées. Ensuite, les applications ayant mis en place des processus de révision de code suffisamment sécurisés présentent moins de vulnérabilités que celles qui ne disposent pas de tels processus, mais plus que celles dont l'architecture est sécurisée par défaut.

Cependant, même les applications dont l'architecture est sécurisée et qui ont fait l'objet d'un examen suffisant sont toujours la proie d'une vulnérabilité occasionnelle. Ces vulnérabilités peuvent échapper aux révisions, ou résulter d'un comportement inattendu lorsque l'application est exécutée dans un environnement différent ou que l'environnement auquel elle est destinée est mis à niveau.

Par conséquent, tu dois mettre en place des processus de découverte des vulnérabilités qui ciblent le code de production plutôt que le code de préproduction.

Automatisation de la sécurité

L'étape initiale pour découvrir les vulnérabilités après les phases d'architecture et d'examen est la phase d'automatisation.

L'automatisation de la ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Start your free trial

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

Publisher Resources

ISBN: 9798341620490

Sécurité des applications Web

by Andrew Hoffman

Chapitre 20. Découverte des vulnérabilités

Automatisation de la sécurité

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Chapitre 20. Découverte des vulnérabilités

Automatisation de la sécurité

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.