Le livre est découpé en quatre grandes parties, elles-mêmes scindées en plusieurs chapitres
spécialisés.La première partie traite de tous les risques liés au code et aux fonctionnalités de vos
pages web.
• Tout d’abord, le chapitre 1 donne un aperçu des notions de sécurité sans rentrer dans les détails techniques. Nous y présentons des attaques, des défenses et différentes tactiques sécuritaires qui pourront vous protéger de beaucoup de problèmes sans même y penser.
• Le chapitre 2 présente les vulnérabilités qui affectent les applications web (XSS, attaques par moteur de recherche, injections, CSRF, virus), ainsi que leurs vecteurs dans une page web. La victime ici s’appelle le navigateur.
• Le chapitre 3 quant à lui s’intéresse aux échanges entre l’internaute et PHP. Nous expliquons d’abord quels sont les points vulnérables dans un formulaire et pourquoi il faut les sécuriser. Nous passons ensuite en revue les techniques de défense côté PHP, la première de toutes étant la validation des informations, reçues mais aussi transmises. Au-delà des données, nous abordons les problèmes liés au téléchargement de fichiers,
qui est adapté aux transferts de gros volumes de données, ou pour les formats qui ne passent pas par un formulaire.
• Pour terminer sur les aspects web, le chapitre 4 étudie les cookies (ou témoins) et les sessions. Leur utilisation est primordiale pour l’identification, cependant ils sont aussi extrêmement faciles à voler.
Les deuxième et troisième parties sont consacrées respectivement à PHP et MySQL. Elles présentent les risques inhérents à ces deux technologies et passent en revue les protections qui ont été mises en place, aussi bien au niveau configuration que dynamique.
• Le chapitre 5 couvre l’installation et la configuration de la plate-forme PHP : modes de fonctionnement, patch Suhoshin, directives de compilation, consommation de ressources, exposition de PHP via ses messages, configuration des sessions.
• Le chapitre 6 traite de la gestion des erreurs en PHP, des fonctions à surveiller dans le code et de la gestion de l’intégrité du code source.
• Le chapitre 7 aborde les concepts SQL les plus généraux, applicables à MySQL bien sûr, mais aussi à bien d’autres bases de données.
• Le chapitre 8 est consacré spécifiquement à MySQL : connexions au serveur, droits d’accès et d’exécution, points de configuration à surveiller. La quatrième partie s’intéresse aux technologies connexes à PHP et MySQL sur le serveur. Si PHP et MySQL ne sont pas forcément la cible des attaques, c’est peut-être que d’autres ressources sont visées : tentatives d’abus à l’encontre de l’internaute, ou déstabilisation du serveur dans son ensemble.
• Le chapitre 9 s’intéresse à tout ce qui se trouve en interaction avec PHP sur le serveur : courrier électronique, système de fichiers, commandes système, structure de l’application web et accès réseau depuis PHP.
• Le chapitre 10 présente un complément de techniques qui ne sont pas spécifiques à PHP ou MySQL. Le chiffrement, les « pots de miel » ou les CAPTCHA sont autant de techniques développées pour contrer les utilisations illégales d’un site web ou pallier leur effet. Elles peuvent être déclinées dans bien d’autres plates-formes et nous vous encourageons à les connaître pour ne pas réinventer la roue.
• Enfin, le chapitre 11 explique de façon détaillée comment mener à bien un audit de sécurité.
0 commentaires:
Enregistrer un commentaire
Share with us your opinion