|
RECHERCHE
|
:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
http-cible et babel web
Quittons le monde des flux pour retrouver celui des « fast flux », avec ce très intéressant travail de compilation patiemment effectué par le Web Applications Security Consortium. Il s’agit là de la réunion des statistiques portant uniquement sur les attaques d’applications Web, réalisées mois après mois par des opérateurs, des entreprises spécialisées dans la surveillance de trafic, des prestataires de services de sécurité hébergés… on y retrouve les noms de British Telecom, Booz Allen Hamilton, Hewlett Packard, Veracode…. Et le « top ten » des nuisances arrive sans surprise : en premier, les XSS, ou Cross Site Scripting, avec 41% des failles détectées in vivo. En second, les fuites d’information potentielles, avec 30 % des résultats de tests. Loin derrière (aux environs de 8 à 9%), les injections SQL, les ressources prévisibles… Il est important de remarquer l’écart qui existe entre le nombre de failles officiellement répertoriées et celles réellement détectées dans la « vraie vie ». Dans certains cas, tels les XSS, l’on peut constater une certaine proportionnalité. Dans le cas des problèmes d’authentification, de localisation de ressources, de spoofing de contenu, l’on rencontre une proportion de sites vulnérables plus importante que le nombre de vulnérabilités répertoriées. La faute au manque de médiatisation relative à ces défauts ? La faute à l’uniformité des équipements ?
Nous ne refermerons pas ce chapitre sur les attaques Web sans revenir une fois de plus sur la taxinomie des principales menaces Web dressée par l’Owasp, récemment traduite en Français, inventaire accompagné d’un certain nombre de bonnes pratiques que tout administrateur de site devrait lire avec attention.
|
|
Les 10 actualités suivantes :
|
|
|
|
Les 10 actualités précédentes :
|
|
|
|
