Les 5 failles de sécurité les plus courantes d’un site web

1
144
Nombre de vues

Développer un site internet est devenu accessible à tous. De plus en plus de personnes se lancent dans la confection de leur site, à des fins personnelles ou professionnelles. Pourtant, peu d’entre eux sont au courant de la vulnérabilité que peut présenter un site web. Nous avons sélectionné les 5 failles les plus courantes qui peuvent toucher directement votre site web. 

Qu’est ce qu’une faille?

Il s’agit d’une faiblesse dans un code qui peut être exploitée pour détourner un site de sa fonction première. La personne malveillante à l’origine de cette faille, pourra donc récupérer des données confidentielles ou modifier le comportement du site appartenant à une personnes tiers.

La faille XSS

Une faille XSS consiste à injecter du code, qui pourra être interprétée directement par le navigateur Web, comme par exemple du JavaScript ou du HTML. Cette première faille ne vise pas directement le site, mais votre navigateur. En effet, celui-ci ne fera pas de différence entre le code du site et celui injecté par le pirate. Ce qui conduira à plusieurs changements, tels que des redirections vers un autre site; vol de cookies ou encore une modification du code HTML de votre page.

Pour vous protéger des XSS, vous devez remplacer les caractères pouvant être compris par le navigateur comme des balises, par leur entité HTML. En procédant ainsi, le navigateur affichera mot à mot le caractère et ne cherchera plus à l’interpréter. En PHP, vous pouvez utiliser les fonctions htmlentities ou htmlspecialchar. 

La faille include

Il s’agit d’une faille très dangereuse. Comme son nom l’indique, elle exploite une mauvaise utilisation de la fonction include. La plupart du temps, cette fonction est utilisée pour exécuter du code PHP, qui se situe dans une autre page, permettant de se connecter à une base de données. Il existe deux type de failles include :

  • A distance :  il s’agit de la faille include par excellence. C’est à la fois la plus rencontrée, et la plus facilement exploitable.
  • En local : cela revient à inclure des fichiers qui se trouvent sur le serveur du site. Une personne malintentionnée pourra donc s’emparer, assez facilement de votre fichier contenant vos mots de passes.

Pour se protéger de cette faille, rien de mieux que de la tester ! Il vous suffit d’inclure une page qui n’existe pas. Si l’URL de celle-ci est vulnérable, un message d’erreur vous sera transmis venant de PHP.

La faille upload

Cette faille peut apparaître lors d’ajout de photo de profil; d’un avatar sur un forum ou encore lorsqu’on inclut une image dans un message. Comme son nom l’indique, elle permet d’upload n’importe quelque type de fichier et ainsi des fichiers malveillants PHP, permettant à la personne de prendre le contrôle total de notre site.

Pour éviter cette vulnérabilité, il est important de :

  • Ne pas permettre pas aux utilisateurs d’envoyer des fichiers lorsque cela n’est pas une fonction primordiale pour votre site ou application
  • Interdire l’exécution de code depuis le dossier dans lequel sont stockés les fichiers envoyés.
  • Vérifier et autoriser l’extension des fichiers que vous tolérez avec une liste blanche

Injection SQL

Cette faille survient lors de la modification d’une requête SQL et revient à injecter des morceaux de code non filtrés, généralement pas le biais d’un formulaire. Cela revient à détourner la requête et lui faire faire autre chose que ce pour quoi elle a été conçue. Cette manipulation rend donc accès à vos données telles que votre login, mots de passe ou adresse mail.

Attaque par force brute

Cette méthode consiste à trouver le mot de passe ou la clé cryptographique d’une personne afin de pouvoir accéder à un service en ligne ainsi qu’à des données personnelles, voire à un ordinateur. D’où la nécessite d’appliquer des mots de passe forts pour vos sites, ce qui rendra complexe l’attaque par une personne tiers.

3 conseils utiles pour renforcer vos mots de passe :

  • Un mot de passe contenant des lettres minuscules; des majuscules; des chiffres et des caractères spéciaux (A noter qu’il existe des générateurs automatiques de mots de passe sur internet
  • Renouveler souvent vos mots de passe
  • Utiliser des mots de passe différents pour l’accès à vos sites

 

1 COMMENTAIRE

RÉPONDRE

Laissez votre commentaire
Renseignez votre nom