{"id":512808,"date":"2022-12-15T17:49:39","date_gmt":"2022-12-15T19:49:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/top-5-des-vulnerabilites-des-applications-web-et-comment-les-trouver\/"},"modified":"2022-12-15T17:49:41","modified_gmt":"2022-12-15T19:49:41","slug":"top-5-des-vulnerabilites-des-applications-web-et-comment-les-trouver","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/top-5-des-vulnerabilites-des-applications-web-et-comment-les-trouver\/","title":{"rendered":"Top 5 des vuln\u00e9rabilit\u00e9s des applications Web et comment les trouver"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les applications Web, souvent sous la forme de logiciels en tant que service (SaaS), sont d\u00e9sormais la pierre angulaire des entreprises du monde entier.  Les solutions SaaS ont r\u00e9volutionn\u00e9 la fa\u00e7on dont elles fonctionnent et fournissent des services, et sont des outils essentiels dans presque tous les secteurs, de la finance et de la banque \u00e0 la sant\u00e9 et \u00e0 l&#8217;\u00e9ducation. <\/p>\n<p>La plupart des CTO de startups ont une excellente compr\u00e9hension de la fa\u00e7on de cr\u00e9er des entreprises SaaS hautement fonctionnelles mais (comme ils ne sont pas des professionnels de la cybers\u00e9curit\u00e9) doivent acqu\u00e9rir plus de connaissances sur la fa\u00e7on de s\u00e9curiser l&#8217;application Web qui la sous-tend. <\/p>\n<h2>Pourquoi tester vos applications web ? <\/h2>\n<p>Si vous \u00eates CTO dans une startup SaaS, vous savez probablement d\u00e9j\u00e0 que ce n&#8217;est pas parce que vous \u00eates petit que vous n&#8217;\u00eates pas sur la ligne de mire.  La taille d&#8217;une startup ne l&#8217;exempte pas des cyber-attaques, car les pirates scrutent constamment Internet \u00e0 la recherche de failles qu&#8217;ils peuvent exploiter.  De plus, il suffit d&#8217;une seule faiblesse et vos donn\u00e9es clients pourraient se retrouver sur Internet.  Il faut de nombreuses ann\u00e9es pour se forger une r\u00e9putation en tant que startup \u2013 et cela peut \u00eatre ruin\u00e9 du jour au lendemain avec un seul d\u00e9faut.<\/p>\n<p>Selon <a rel=\"nofollow noopener\" href=\"https:\/\/enterprise.verizon.com\/en-gb\/resources\/reports\/dbir\/\" target=\"_blank\">recherches r\u00e9centes de Verizon<\/a>, les attaques d&#8217;applications Web sont impliqu\u00e9es dans 26\u00a0% de toutes les violations, et la s\u00e9curit\u00e9 des applications est une pr\u00e9occupation pour les \u00be des entreprises.  C&#8217;est un bon rappel que vous ne pouvez pas vous permettre d&#8217;ignorer la s\u00e9curit\u00e9 des applications Web si vous souhaitez prot\u00e9ger les donn\u00e9es de vos clients.<\/p>\n<h2>Pour les startups comme pour les entreprises <\/h2>\n<p>Le piratage est de plus en plus automatis\u00e9 et aveugle, de sorte que les startups sont tout aussi vuln\u00e9rables aux attaques que les grandes entreprises.  Mais peu importe o\u00f9 vous en \u00eates dans votre parcours de cybers\u00e9curit\u00e9, la s\u00e9curisation de vos applications Web n&#8217;a pas besoin d&#8217;\u00eatre difficile.  Il est utile d&#8217;avoir un peu de connaissances de base, alors voici notre guide essentiel pour d\u00e9marrer les tests de s\u00e9curit\u00e9 de votre application Web. <\/p>\n<h2>Quelles sont les vuln\u00e9rabilit\u00e9s courantes\u00a0? <\/h2>\n<h4 style=\"text-align: left;\">1 \u2014 Injection SQL <\/h4>\n<p>O\u00f9 les attaquants exploitent les vuln\u00e9rabilit\u00e9s pour ex\u00e9cuter du code malveillant dans votre base de donn\u00e9es, volant ou d\u00e9versant potentiellement toutes vos donn\u00e9es et acc\u00e9dant \u00e0 tout le reste de vos syst\u00e8mes internes en d\u00e9robant le serveur. <\/p>\n<p><b>2 \u2014 XSS (script intersite) <\/b><\/p>\n<ol>\n<\/ol>\n<p>C&#8217;est l\u00e0 que les pirates peuvent cibler les utilisateurs de l&#8217;application et leur permettre de mener des attaques telles que l&#8217;installation de chevaux de Troie et d&#8217;enregistreurs de frappe, la prise de contr\u00f4le de comptes d&#8217;utilisateurs, la r\u00e9alisation de campagnes de phishing ou le vol d&#8217;identit\u00e9, en particulier lorsqu&#8217;il est utilis\u00e9 avec l&#8217;ing\u00e9nierie sociale. <\/p>\n<h4 style=\"text-align: left;\">3 \u2014 Travers\u00e9e de chemin <\/h4>\n<ol>\n<\/ol>\n<p>Ceux-ci permettent aux attaquants de lire les fichiers d\u00e9tenus sur un syst\u00e8me, leur permettant de lire le code source, les fichiers syst\u00e8me prot\u00e9g\u00e9s sensibles et de capturer les informations d&#8217;identification contenues dans les fichiers de configuration, et peuvent m\u00eame conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance.  L&#8217;impact peut aller de l&#8217;ex\u00e9cution d&#8217;un logiciel malveillant \u00e0 un attaquant prenant le contr\u00f4le total d&#8217;une machine compromise. <\/p>\n<h4 style=\"text-align: left;\">4 \u2014 Authentification bris\u00e9e <\/h4>\n<ol>\n<\/ol>\n<p>Il s&#8217;agit d&#8217;un terme g\u00e9n\u00e9rique d\u00e9signant les faiblesses de la gestion de session et de la gestion des informations d&#8217;identification, o\u00f9 les attaquants se font passer pour un utilisateur et utilisent des identifiants de session pirat\u00e9s ou des informations d&#8217;identification de connexion vol\u00e9es pour acc\u00e9der aux comptes d&#8217;utilisateurs et utiliser leurs autorisations pour exploiter les vuln\u00e9rabilit\u00e9s des applications Web. <\/p>\n<h4 style=\"text-align: left;\">5 \u2014 Mauvaise configuration de la s\u00e9curit\u00e9 <\/h4>\n<ol>\n<\/ol>\n<p>Ces vuln\u00e9rabilit\u00e9s peuvent inclure des failles non corrig\u00e9es, des pages expir\u00e9es, des fichiers ou des r\u00e9pertoires non prot\u00e9g\u00e9s, des logiciels obsol\u00e8tes ou des logiciels en cours d&#8217;ex\u00e9cution en mode d\u00e9bogage. <\/p>\n<h2>Comment tester les vuln\u00e9rabilit\u00e9s ? <\/h2>\n<p>Les tests de s\u00e9curit\u00e9 Web pour les applications sont g\u00e9n\u00e9ralement divis\u00e9s en deux types\u00a0: l&#8217;analyse des vuln\u00e9rabilit\u00e9s et les tests d&#8217;intrusion\u00a0: <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/?utm_source=referral&amp;utm_campaign=thehackernews-web-app-testing\" target=\"_blank\"><strong>Analyseurs de vuln\u00e9rabilit\u00e9<\/strong><\/a>  sont des tests automatis\u00e9s qui identifient les vuln\u00e9rabilit\u00e9s de vos applications Web et de leurs syst\u00e8mes sous-jacents.  Ils sont con\u00e7us pour d\u00e9couvrir une gamme de faiblesses dans vos applications &#8211; et sont utiles car vous pouvez les ex\u00e9cuter quand vous le souhaitez, en tant que m\u00e9canisme de s\u00e9curit\u00e9 derri\u00e8re les changements fr\u00e9quents que vous devez apporter au d\u00e9veloppement d&#8217;applications.<\/p>\n<p><strong>Tests de p\u00e9n\u00e9tration<\/strong>: ces tests de s\u00e9curit\u00e9 manuels sont plus rigoureux, car il s&#8217;agit essentiellement d&#8217;une forme contr\u00f4l\u00e9e de piratage.  Nous vous recommandons de les ex\u00e9cuter parall\u00e8lement \u00e0 l&#8217;analyse d&#8217;applications plus critiques, en particulier celles qui subissent des modifications majeures.<\/p>\n<h2>Allez plus loin avec l&#8217;analyse \u00ab authentifi\u00e9e \u00bb<\/h2>\n<p>Une grande partie de votre surface d&#8217;attaque peut \u00eatre cach\u00e9e derri\u00e8re une page de connexion.  L&#8217;analyse des applications Web authentifi\u00e9es vous aide \u00e0 trouver les vuln\u00e9rabilit\u00e9s qui existent derri\u00e8re ces pages de connexion.  Alors que les attaques automatis\u00e9es ciblant vos syst\u00e8mes externes sont tr\u00e8s susceptibles de vous affecter \u00e0 un moment donn\u00e9, une attaque plus cibl\u00e9e qui inclut l&#8217;utilisation d&#8217;informations d&#8217;identification est possible. <\/p>\n<p>Si votre application permet \u00e0 n&#8217;importe qui sur Internet de s&#8217;inscrire, vous pourriez facilement \u00eatre expos\u00e9.  De plus, la fonctionnalit\u00e9 disponible pour les utilisateurs authentifi\u00e9s est souvent plus puissante et sensible, ce qui signifie qu&#8217;une vuln\u00e9rabilit\u00e9 identifi\u00e9e dans une partie authentifi\u00e9e d&#8217;une application est susceptible d&#8217;avoir un impact plus important. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/web-application-vulnerability-scanner?utm_source=referral&amp;utm_campaign=thehackernews-web-app-testing\" target=\"_blank\">Scanner d&#8217;applications Web authentifi\u00e9es d&#8217;Intruder<\/a> inclut un certain nombre d&#8217;avantages cl\u00e9s, notamment la facilit\u00e9 d&#8217;utilisation, les int\u00e9grations de d\u00e9veloppeurs, la r\u00e9duction des faux positifs et des conseils de correction. <\/p>\n<h2>Comment d\u00e9marrer ? <\/h2>\n<p>La s\u00e9curit\u00e9 des applications Web est un voyage et ne peut pas \u00eatre int\u00e9gr\u00e9e r\u00e9trospectivement \u00e0 votre application juste avant sa publication.  Int\u00e9grez les tests avec un scanner de vuln\u00e9rabilit\u00e9 tout au long de votre cycle de vie de d\u00e9veloppement pour vous aider \u00e0 d\u00e9tecter et \u00e0 r\u00e9soudre les probl\u00e8mes plus t\u00f4t. <\/p>\n<p>Cette approche vous permet, \u00e0 vous et \u00e0 vos d\u00e9veloppeurs, de fournir un code propre et s\u00fbr, d&#8217;acc\u00e9l\u00e9rer le cycle de vie du d\u00e9veloppement et d&#8217;am\u00e9liorer la fiabilit\u00e9 et la maintenabilit\u00e9 globales de votre application. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjlPFC4pMbEORcpwnJzpMiuWHEnLhU6Oc4pxjW8hDRy18CuXUbLkyQXsQkpL7AwXiKVmJ7ZHN1t1y3dNdHCUttqymsgckiP8tFjgxr3jHd77-TFHy2jBT0qcUVgpvPb3o8mjzluVbOnxRPO1PXhZUZqv6yYHudIzF5alK8XhkSnat-zfuiVeFze-lZY\/s728-e100\/pentesting.png\" alt=\"\" border=\"0\" data-original-height=\"383\" data-original-width=\"728\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Intruder effectue des examens sur vos serveurs, syst\u00e8mes cloud et terminaux accessibles publiquement et en priv\u00e9 pour vous prot\u00e9ger pleinement.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Mais tester plus t\u00f4t et plus rapidement est presque impossible sans automatisation.  Le scanner d&#8217;applications Web automatis\u00e9 d&#8217;Intruder peut \u00eatre essay\u00e9 gratuitement avant d&#8217;acheter. <a rel=\"nofollow noopener\" href=\"https:\/\/portal.intruder.io\/free_trial\/?utm_source=referral&amp;utm_campaign=thehackernews-web-app-testing\" target=\"_blank\">S&#8217;inscrire<\/a> \u00e0 un essai gratuit aujourd&#8217;hui et faites-en l&#8217;exp\u00e9rience de premi\u00e8re main. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/top-5-web-app-vulnerabilities-and-how.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les applications Web, souvent sous la forme de logiciels en tant que service (SaaS), sont d\u00e9sormais la pierre angulaire des entreprises du monde entier. Les solutions SaaS ont r\u00e9volutionn\u00e9 la fa\u00e7on dont elles fonctionnent et fournissent des services, et sont des outils essentiels dans presque tous les secteurs, de la finance et de la banque [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":512809,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8361,767,4168,4158,4165,4161,133,4157,4159,4171,4170,65,4167,4160,4163,4162,4172,4169,4378,8355,4166,4164,12365,2784],"class_list":["post-512808","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-applications","tag-comment","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-top","tag-trouver","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/512808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=512808"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/512808\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/512809"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=512808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=512808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=512808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}