book

Sécurité des applications Web

by Andrew Hoffman

November 2024

Intermediate to advanced

330 pages

9h 24m

French

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Connaissances préalables et objectifs d'apprentissageContexte suggéréCompétences minimales requisesQui bénéficiera le plus de la lecture de ce livre ?Ingénieurs en logiciel et développeurs d'applications WebObjectifs généraux d'apprentissageIngénieurs en sécurité, Pen Testers et chasseurs de bugsComment ce livre est-il organisé ?ReconInfractionDéfenseLangue et terminologieRésuméConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacter
Les origines du piratage informatiqueLa machine Enigma, vers 1930Déchiffrage automatisé du code Enigma, vers 1940Présentation de la "Bombe"Téléphone "Phreaking", vers 1950Technologie anti-fraude, vers 1960Les origines du piratage informatique, vers 1980L'essor du World Wide Web, vers l'an 2000Les pirates informatiques à l'ère moderne, vers 2015+.Résumé
Collecte d'informationsCartographie des applications WebRésumé
Applications Web modernes ou anciennesAPI RESTNotation d'objets JavaScriptJavaScriptVariables et champ d'applicationFonctionsContexteHéritage prototypiqueAsynchronieDOM du navigateurCadres SPASystèmes d'authentification et d'autorisationAuthentificationAutorisationServeurs WebBases de données côté serveurMagasins de données côté clientRésumé
Plusieurs applications par domaineLes outils d'analyse de réseau intégrés au navigateurProfiter des archives publiquesCaches des moteurs de rechercheArchives accidentellesInstantanés sociauxAttaques de transfert de zoneForcer les sous-domainesAttaques de dictionnairesRésumé
Découverte des points finauxMécanismes d'authentificationFormes de l'extrémitéFormes courantesFormes spécifiques à l'applicationRésumé
Détecter les structures côté clientDétecter les cadres SPADétection des bibliothèques JavaScriptDétection des bibliothèques CSSDétecter les structures côté serveurDétection de l'en-têteMessages d'erreur par défaut et pages 404Détection de base de donnéesRésumé
Signaux d'architecture sécurisés ou non sécurisésPlusieurs niveaux de sécuritéAdoption et réinventionRésumé

L'état d'esprit du hackerApplied Recon
Découverte et exploitation de XSSXSS stockéXSS réfléchiXSS basé sur DOMXSS par mutationRésumé
Falsification des paramètres de la requêteAutres charges utiles GETCSRF contre les points de terminaison POSTRésumé
Direct XXEIndirect XXERésumé
Injection SQLInjection de codeInjection de commandeRésumé
DoS par regex (ReDoS)Vulnérabilités logiques DoSDoS distribuéRésumé
Méthodes d'intégrationBranches et fourchesIntégrations d'applications auto-hébergéesIntégration du code sourceGestionnaires de paquetsJavaScriptJavaAutres languesBase de données des vulnérabilités et expositions communesRésumé
Architecture logicielle défensiveExamens complets du codeDécouverte des vulnérabilitésAnalyse de la vulnérabilitéGestion de la vulnérabilitéTest de régressionStratégies d'atténuationTechniques appliquées de reconnaissance et d'attaque
Analyser les besoins en fonctionnalitésAuthentification et autorisationSecure Sockets Layer et Transport Layer SecuritySécuriser les informations d'identificationHacher les informations d'identification2FAIIP et données financièresRechercheRésumé
Comment commencer un examen du codeVulnérabilités archétypiques contre bogues logiques personnalisésOù commencer un examen de la sécuritéAnti-modèles de codage sécuriséListes noiresCode modèleAnti-modèle de confiance par défautSéparation client/serveurRésumé
Automatisation de la sécuritéAnalyse statiqueAnalyse dynamiqueTest de régression des vulnérabilitésProgrammes de divulgation responsableProgrammes de récompenses pour les boguesTest de pénétration par un tiersRésumé
Reproduire les vulnérabilitésClassement de la gravité de la vulnérabilitéSystème commun d'évaluation des vulnérabilitésCVSS : Notation de baseCVSS : Notation temporelleCVSS : Evaluation de l'environnementÉvaluation avancée des vulnérabilitésAu-delà du triage et de la notationRésumé
Meilleures pratiques de codage anti-XSSAssainissement des données de l'utilisateurDOMParser SinkSVG SinkL'évier BlobAssainissement des hyperliensEncodage des entités HTMLCSSPolitique de sécurité du contenu pour la prévention des XSSSource du scriptEval et Inline non sécurisésMise en place d'un CSPRésumé
Vérification de l'en-têteJetons CSRFJetons CSRF sans état d'âmeMeilleures pratiques de codage anti-CRSFRequêtes GET sans étatAtténuation du CSRF à l'échelle de l'applicationRésumé
Évaluation d'autres formats de donnéesRisques XXE avancésRésumé
Atténuer les risques d'injection SQLDétecter une injection SQLDéclarations préparéesDéfenses spécifiques aux bases de donnéesDéfenses génériques contre les injectionsCibles potentielles d'injectionPrincipe de moindre autoritéCommandes de liste blancheRésumé
Protection contre les attaques de type Regex DoSProtection contre les attaques logiques par déni de serviceProtéger contre les DDoSAtténuation des DDoSRésumé
Évaluation des arbres de dépendanceModélisation d'un arbre de dépendanceLes arbres de dépendance dans le monde réelÉvaluation automatiséeTechniques d'intégration sécuriséeSéparation des préoccupationsGestion sécurisée des paquetsRésumé
L'histoire de la sécurité des logicielsReconnaissance des applications WebInfractionDéfense

Content preview from Sécurité des applications Web

Chapitre 27. Sécuriser les dépendances des tiers

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Dans la première partie, "Recon", nous avons étudié les moyens d'identifier les dépendances de tiers dans une application Web de première partie.

Dans la deuxième partie, " L'offensive ", nous avons analysé les différentes façons dont les dépendances tierces sont intégrées dans une application web de première partie. Sur la base de cette intégration, nous avons pu identifier des vecteurs d'attaque potentiels et discuter des moyens d'exploiter ces intégrations.

La troisième partie étant consacrée aux techniques défensives permettant d'étouffer les pirates informatiques, ce chapitre est consacré à la protection de ton application contre les vulnérabilités qui pourraient survenir lors de l'intégration de dépendances tierces.

Évaluation des arbres de dépendance

Une des choses les plus importantes à garder à l'esprit lorsque l'on considère les dépendances des tiers est que beaucoup d'entre eux ont leurs propres dépendances. Ces dépendances sont parfois appelées dépendances de quatrième partie.

L'évaluation manuelle d'une dépendance tierce unique dépourvue de dépendances tierces est faisable. L'évaluation manuelle des dépendances tierces au niveau du code est idéale dans de nombreux cas.

Malheureusement, les révisions de code manuelles ne sont pas particulièrement bien adaptées, et dans de nombreux cas, il ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Start your free trial

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

Publisher Resources

ISBN: 9798341620490

Sécurité des applications Web

by Andrew Hoffman

Chapitre 27. Sécuriser les dépendances des tiers

Évaluation des arbres de dépendance

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Chapitre 27. Sécuriser les dépendances des tiers

Évaluation des arbres de dépendance

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

You might also like

Java™ 2 Enterprise Edition (J2EE™) Web Component Developer Exam Cram™ 2 (Exam 310-080)

OCA/OCP Java SE 7 Programmer I & II Study Guide (Exams 1Z0-803 & 1Z0-804)

VMware vSphere® 5 Building a Virtual Datacenter

Special Edition Using Java™ 2 Enterprise Edition

Publisher Resources

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.