book

Sécurité des applications Web

by Andrew Hoffman

November 2024

Intermediate to advanced

330 pages

9h 24m

French

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Connaissances préalables et objectifs d'apprentissageContexte suggéréCompétences minimales requisesQui bénéficiera le plus de la lecture de ce livre ?Ingénieurs en logiciel et développeurs d'applications WebObjectifs généraux d'apprentissageIngénieurs en sécurité, Pen Testers et chasseurs de bugsComment ce livre est-il organisé ?ReconInfractionDéfenseLangue et terminologieRésuméConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacter
Les origines du piratage informatiqueLa machine Enigma, vers 1930Déchiffrage automatisé du code Enigma, vers 1940Présentation de la "Bombe"Téléphone "Phreaking", vers 1950Technologie anti-fraude, vers 1960Les origines du piratage informatique, vers 1980L'essor du World Wide Web, vers l'an 2000Les pirates informatiques à l'ère moderne, vers 2015+.Résumé
Collecte d'informationsCartographie des applications WebRésumé
Applications Web modernes ou anciennesAPI RESTNotation d'objets JavaScriptJavaScriptVariables et champ d'applicationFonctionsContexteHéritage prototypiqueAsynchronieDOM du navigateurCadres SPASystèmes d'authentification et d'autorisationAuthentificationAutorisationServeurs WebBases de données côté serveurMagasins de données côté clientRésumé
Plusieurs applications par domaineLes outils d'analyse de réseau intégrés au navigateurProfiter des archives publiquesCaches des moteurs de rechercheArchives accidentellesInstantanés sociauxAttaques de transfert de zoneForcer les sous-domainesAttaques de dictionnairesRésumé
Découverte des points finauxMécanismes d'authentificationFormes de l'extrémitéFormes courantesFormes spécifiques à l'applicationRésumé
Détecter les structures côté clientDétecter les cadres SPADétection des bibliothèques JavaScriptDétection des bibliothèques CSSDétecter les structures côté serveurDétection de l'en-têteMessages d'erreur par défaut et pages 404Détection de base de donnéesRésumé
Signaux d'architecture sécurisés ou non sécurisésPlusieurs niveaux de sécuritéAdoption et réinventionRésumé

L'état d'esprit du hackerApplied Recon
Découverte et exploitation de XSSXSS stockéXSS réfléchiXSS basé sur DOMXSS par mutationRésumé
Falsification des paramètres de la requêteAutres charges utiles GETCSRF contre les points de terminaison POSTRésumé
Direct XXEIndirect XXERésumé
Injection SQLInjection de codeInjection de commandeRésumé
DoS par regex (ReDoS)Vulnérabilités logiques DoSDoS distribuéRésumé
Méthodes d'intégrationBranches et fourchesIntégrations d'applications auto-hébergéesIntégration du code sourceGestionnaires de paquetsJavaScriptJavaAutres languesBase de données des vulnérabilités et expositions communesRésumé
Architecture logicielle défensiveExamens complets du codeDécouverte des vulnérabilitésAnalyse de la vulnérabilitéGestion de la vulnérabilitéTest de régressionStratégies d'atténuationTechniques appliquées de reconnaissance et d'attaque
Analyser les besoins en fonctionnalitésAuthentification et autorisationSecure Sockets Layer et Transport Layer SecuritySécuriser les informations d'identificationHacher les informations d'identification2FAIIP et données financièresRechercheRésumé
Comment commencer un examen du codeVulnérabilités archétypiques contre bogues logiques personnalisésOù commencer un examen de la sécuritéAnti-modèles de codage sécuriséListes noiresCode modèleAnti-modèle de confiance par défautSéparation client/serveurRésumé
Automatisation de la sécuritéAnalyse statiqueAnalyse dynamiqueTest de régression des vulnérabilitésProgrammes de divulgation responsableProgrammes de récompenses pour les boguesTest de pénétration par un tiersRésumé
Reproduire les vulnérabilitésClassement de la gravité de la vulnérabilitéSystème commun d'évaluation des vulnérabilitésCVSS : Notation de baseCVSS : Notation temporelleCVSS : Evaluation de l'environnementÉvaluation avancée des vulnérabilitésAu-delà du triage et de la notationRésumé
Meilleures pratiques de codage anti-XSSAssainissement des données de l'utilisateurDOMParser SinkSVG SinkL'évier BlobAssainissement des hyperliensEncodage des entités HTMLCSSPolitique de sécurité du contenu pour la prévention des XSSSource du scriptEval et Inline non sécurisésMise en place d'un CSPRésumé
Vérification de l'en-têteJetons CSRFJetons CSRF sans état d'âmeMeilleures pratiques de codage anti-CRSFRequêtes GET sans étatAtténuation du CSRF à l'échelle de l'applicationRésumé
Évaluation d'autres formats de donnéesRisques XXE avancésRésumé
Atténuer les risques d'injection SQLDétecter une injection SQLDéclarations préparéesDéfenses spécifiques aux bases de donnéesDéfenses génériques contre les injectionsCibles potentielles d'injectionPrincipe de moindre autoritéCommandes de liste blancheRésumé
Protection contre les attaques de type Regex DoSProtection contre les attaques logiques par déni de serviceProtéger contre les DDoSAtténuation des DDoSRésumé
Évaluation des arbres de dépendanceModélisation d'un arbre de dépendanceLes arbres de dépendance dans le monde réelÉvaluation automatiséeTechniques d'intégration sécuriséeSéparation des préoccupationsGestion sécurisée des paquetsRésumé
L'histoire de la sécurité des logicielsReconnaissance des applications WebInfractionDéfense

Content preview from Sécurité des applications Web

Chapitre 26. Se défendre contre les attaques par déni de service

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

DoS Les attaques par déni de service impliquent généralement l'utilisation des ressources du système, ce qui peut rendre leur détection un peu difficile sans un enregistrement robuste du serveur. Il peut être difficile de détecter une attaque DoS qui s'est produite dans le passé si elle est passée par des canaux légitimes (comme un point de terminaison API).

En tant que telle, une première mesure contre les attaques de type DoS devrait consister à mettre en place un système de journalisation suffisamment complet dans ton serveur pour que toutes les requêtes soient enregistrées en même temps que leur temps de réponse. Tu devrais également enregistrer manuellement les performances de tout type de fonctions asynchrones de type "job", comme une sauvegarde qui est appelée par l'intermédiaire de ton API mais qui s'exécute en arrière-plan et ne génère pas de réponse une fois qu'elle est terminée. Cela te permettra de repérer toute tentative (accidentelle ou malveillante) d'exploitation d'une vulnérabilité DoS (côté serveur) qui aurait autrement été difficile et aurait pris beaucoup de temps.

Comme nous l'avons vu précédemment, les attaques DoS sont structurées de manière à obtenir un ou plusieurs des résultats suivants :

Épuiser les ressources du serveur
Épuiser les ressources du client ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Start your free trial

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

Publisher Resources

ISBN: 9798341620490

Sécurité des applications Web

by Andrew Hoffman

Chapitre 26. Se défendre contre les attaques par déni de service

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Chapitre 26. Se défendre contre les attaques par déni de service

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.