L'expert en sécurité
informatique
Forge d'URL, CGI, Injection SQL 1/3

Résumé :

  • Vecteurs : Serveur Web
  • Complexité : faible à moyenne
  • Risque pour le pirate : moyenne
  • Discrétion : faible
  • Cible : Service en ligne (Web)
  • Exemple : faille du gestionnaire de statistiques awstats
  • Impact / danger : Important (surtout en terme d'image en général)
  • Réponse adaptée : Reverse Proxy, IDS

Un serveur Web met à disposition des pages HTML et de plus en plus fréquemment des scripts qui effectue diverses actions en bases de données ou commandes sur le système. Certains de ces scripts, écrits dans des langages comme PHP par exemple, permettent de faire des actions directement sur le serveur Web. Un cas classique consiste à parser (lire et organiser) les log (journaux d'évènements) du serveurs et à les présenter de façon agréable. L'un des logiciels connus pour faire ceci est awstats et celui-ci à (encore) connu une faille assez « douloureuse » récemment.

En effet les pirates prennent un malin plaisir à ne pas fournir les bons arguments aux scripts concernés pour obtenir des résultats différents de ceux qu'ils fourniraient en temps normal et souvent beaucoup plus intéressants.

 

Bon à savoir :
Il vaut mieux qu'un test d'intrusion mené par des experts révèle une ou plusieurs failles plutot que ce soit des pirates qui le fassent. Un audit de sécurité devrait être mené sur toute plateforme qui sera rendu accessible avant sa mise en production. La sécurité informatique, à l'instar de la sécurité physique, ne vaut que par son maillon le plus faible. Un audit de sécurité peut être partiel ou exhaustif selon le besoin du client, mais il est avant tout collaboratif. Une bonne GMAO engendre en moyenne 30% de réduction des coûts de maintenance. Une bonne formation en sécurité doit être adaptée à son public, dirigeants, employés, membres de la DSI ou futur RSSI. La formation RSSI permet de connaitre le cadre d'exercice légal tout autant que les référentiels de sécurité de la norme ISO 27001.
© NBS System 2000-2007. Tous droits réservés. Entreprise spécialisée dans la sécurité informatique. Nous vous proposons des prestations telles que l'audit de sécurité ou encore le test d'intrusion.