Vaadata’s Blog - Website and mobile app security

Risques 8 juillet 2015

Qu’est-ce qu’une faille logique sur les applications web ?

Mis à jour 16 fev. 2021

Les failles logiques restent un type de vulnérabilités méconnues dans la sécurité informatique. Ce ne sont pas des erreurs dans le raisonnement logique. Il s’agit de failles liées au fonctionnement d’une application web. Elles diffèrent des vulnérabilités techniques, qui elles, sont directement liées à des erreurs de code, d’implémentation ou de configuration.

Nous trouvons régulièrement ces vulnérabilités de logique business lors de tests d’intrusion, sur tout type d’applications. Généralement, les sites ecommerce et les logiciels SaaS sont les solutions où ces vulnérabilités se retrouvent le plus fréquemment.

Technique 3 juin 2015

Fonctionnement et configuration de l’authentification 2 facteurs

Qu’est-ce que 2FA

2FA signifie Two Factor Authentication (authentification à deux facteurs). Il s’agit d’un moyen permettant de renforcer un processus d’authentification.
Un exemple de ce type d’authentification se trouve sur de nombreux sites de banques, sur les fonctionnalités critiques telles que la réalisation de virements bancaires. Suivant votre banque, celle-ci peut vous envoyer un code via SMS, que vous devez recopier sur le site web afin de confirmer le virement.

Le second facteur utilisé peut être un téléphone, un objet physique en votre possession, une caractéristique physique (biométrie) ou un secret que vous seul connaissez.

Un process 2FA comprend quelques inconvénients : il rend le processus d’authentification plus complexe, et le second facteur doit impérativement être “disponible”, ce qui peut constituer un problème avec les téléphones mobiles. Batterie déchargée, mauvaise couverture réseau ou tout autre problème peuvent empêcher le processus de fonctionner correctement.

Solutions 21 mai 2015

Choisir le bon web application firewall

L’intérêt d’un web application firewall

Si vous ne voyez pas exactement la différence entre un firewall “classique” et un WAF (web application firewall), je vous conseille de consulter un article précédent, expliquant les différences : Firewalls traditionnels ou Web Application Firewalls?
Les menaces pesant sur les applications font des web application firewalls une approche véritablement complémentaire aux bonnes pratiques de développement et aux tests de sécurité (audits).
La protection globale qu’ils apportent contre les attaques connues (et non connues), le patching virtuel et le reporting d’événements liés à la sécurité ont une vraie valeur ajoutée.

Solutions 30 avril 2015

Firewalls traditionnels ou Web Application Firewalls ?

Les firewalls traditionnels ont pour but de protéger des environnements informatiques contre les attaques, en autorisant ou en bloquant certains services.
Ces firewalls contrôlent le trafic réseau entrant et sortant, en se basant sur une série de règles.

Voici un exemple simple :
Supposons que votre entreprise possède un serveur web dans son infrastructure informatique. Afin de rendre le serveur web accessible depuis l’extérieur de votre entreprise, certaines règles devront être définies pour autoriser le trafic web vers et depuis ce serveur.
Certains “ports” seront ouverts, pour une adresse IP (celle de votre serveur web).
Votre entreprise peut choisir d’autoriser seulement le trafic web, ou d’autoriser un autre type de trafic en fonction de ses besoins.

Technique 1 avril 2015

Sécurisez votre site web avec les headers HTTP

La sécurité peut impliquer de lourds investissements en termes de développement web.
Mais certains petits ajustements peuvent aussi vous permettre une avancée significative en matière de sécurité. Ces modifications sont minimes en termes de code et de configuration, mais elles requièrent une bonne analyse et une validation avant d’être implémentées. Il s’agit des headers HTTP.

Solutions 25 mars 2015

A quelle fréquence faut-il effectuer un test d’intrusion sur son site web ?

Il y a quelques années, on se posait la question suivante : faut-il faire tester la sécurité de son site web ? A présent, la question est devenue : à quelle fréquence faut-il effectuer des tests ? Cette réflexion vaut pour les sites internet ainsi que pour les applications mobiles et les logiciels développés à partir de technologies web. Bien que la partie systèmes et serveurs mérite elle aussi d’être sécurisée, nous nous focalisons ici sur la partie applicative qui rattrape progressivement son retard dans le domaine.

Solutions 11 mars 2015

Les 3 configurations des WAF pour se protéger des cyber-attaques

Les Web Application Firewalls servent à protéger les applications web. Mais quels rôles précis peuvent-ils jouer dans une architecture web?
Leur capacité à améliorer la sécurité de votre plateforme dépendra de vos choix de configuration.

Solutions 24 février 2015

Filtres et WAF : pourquoi les utiliser ?

Alors que le nombre de piratages augmente, les pare-feu applicatifs (web application firewalls) et les filtres sont de plus en plus plébiscités. Ces outils permettent de renforcer la sécurisation de vos applications web. Comment fonctionnent-ils? Quelles sont leurs différences? Voici une brève introduction sur le sujet.

Technique 23 janvier 2015

Fonctionnement et configuration d’HTTPS

HTTPS fait de plus en plus parler de lui, notamment depuis la faille Heartbleed largement médiatisée en 2014.
Il fût un temps où HTTPS était réservé aux transactions très sensibles, comme les transactions bancaires.

On considère aujourd’hui qu’HTTPS est nécessaire dès lors qu’un utilisateur est authentifié sur un site internet, ce afin de protéger sa session web et ses identifiants de connexion.

Technique 26 novembre 2014

Comprendre les vulnérabilités web en 5 min – Episode #10 – Redirections et renvois non validés

Cette faille est classée n°10 sur l’OWASP Top 10, c’est donc la dernière du classement. Ce n’est pas celle jugée comme étant la plus importante par l’OWASP, mais ce n’est pas pour autant qu’il faut l’ignorer, bien au contraire.
Ce type de vulnérabilité permet en effet d’effectuer des attaques de type phishing avec plus d’efficacité. Elle permet aussi d’accéder à des ressources non autorisées.

Risques 23 juin 2014

Concrètement, quels sont les risques liés au piratage d’un site web ?

Les types d’attaques

Les différents types d’attaques peuvent être répartis en deux catégories de base :

Celles liées à des failles techniques (faiblesses des contrôles, manque de rigueur dans les développements, faiblesse cryptographique…)

Celles liées à des failles logiques (faiblesse dans la logique business de l’application web).

Technique 15 mai 2014

Comprendre les vulnérabilités web en 5 min – Episode #6 : Exposition de données sensibles

Dans la continuité de notre série dédiée à la compréhension des vulnérabilités web, ce 6ème épisode nous parle d’exposition de données sensibles.
Comme pour les autres articles de cette série, nous ne plongerons pas des les détails techniques (il faudrait y consacrer un nombre conséquent de pages), nous ne parlerons donc pas de Cryptographie.
Ce type de vulnérabilité est classé au sixième rang de l’OWASP Top 10 2013. Ces vulnérabilités sont assez difficiles à exploiter par les pirates; mais l’impact est tellement sévère qu’il est très important de correctement les comprendre et de faire des choix d’architecture appropriés.

Solutions 14 mars 2014

10 étapes pour sécuriser son site web

Nous supposons ici que votre environnement d’hébergement est déjà sécurisé, qu’il s’agisse d’un environnement géré en interne ou administré par un prestataire externe.
Focalisons nous sur l’application. Quelles sont les étapes à effectuer afin d’améliorer la sécurité d’une application web ? Comment réduire la surface d’attaque et éliminer des risques facilement décelables ?
Cet article n’a pas la prétention de constituer le manuel du parfait défenseur d’applications web, mais rappelle des principes de bases et présente une liste d’éléments à prendre en compte et à appliquer.