«Plus de 50% de toutes les nouvelles vulnérabilités sont identifiées sur une base hebdomadaire, sont attribués à des applications web (@ SANS RISQUE,« Le consensus sur la sécurité d'alerte de vulnérabilité ")»
«Plus de 80% de tous les logiciels malveillants qui ont émergé dans le foyer dernière année sur les vulnérabilités au niveau application (sources diverses, 2006). »
«En 2006 Juin, 92 d'injection SQL et 34 cross-site scripting (XSS) de nouvelles vulnérabilités ont été enregistrées sur notre base de données (Secunia)»
Le raisonnement derrière le protocole HTTP est de favoriser la communication facile, rapide et léger et inter-connection. Il a été conçu pour beaucoup partager l'information, sans aborder réellement les aspects de sécurité. En effet, elles ont été considérées comme une contrainte, censée ralentir la circulation vers le bas et empêcher la «liberté». Comme le dit Jon Postel Etats (un contributeur clé de requêtes Internet For Comments) dans sa loi «être conservateur dans ce que vous faites, être libéral dans ce que vous accepter de la part d'autres (Sept. 1981)".
Très bien connu des principes de sécurité sont la confidentialité, la disponibilité, l'intégrité et la vérifiabilité (capacité à répondre aux questions clés telles que: qui, quoi, quand, où, à qui). Protocole HTTP donne mauvais résultat sur ces aspects. HTTPS améliore les aspects de confidentialité au cours de transit, mais si le trafic initial était malveillant, serveur web va recevoir et traiter le trafic malveillant SSL! Protocoles Web authentifier à peine, en partie seulement garantir la confidentialité et l'intégrité, ne protègent pas contre l'usurpation d'identité ...
Gardez à l'esprit que l'URL envoyée par un navigateur est une ligne de commande pour votre serveur web: par exemple une URL générant une commande SQL ou activation d'un script CGI.
Enfin, les protocoles Web n'imposent pas de validation d'entrée, c'est la principale cause de leurs «insécurité»!
Une solution est indispensable que des architectures Web sont de plus en plus adoptée dans les systèmes de TI de base!
Le troisième article est de codage sur les sites Web sécurisés
Richard Touret est gestionnaire au Binarysec, http://www.binarysec.com, l'édition de logiciels de sécurité entreprise un softwall intelligente des applications web ou pare-feu logiciel. Ce module Apache s'adapte sur la plupart des sites web, l'apprentissage du trafic légitime de bloquer toute demande malveillants, notamment par injection SQL, cross-site scripting, traversée de répertoire, la navigation avec force, l'injection de commandes, paramètres falsification, faux-fuyants attaque de type buffer overflow, ...
