La sécurité des applications Web est l’ensemble des mesures prises pour protéger les applications Web contre les attaques et vulnérabilités.
Ces mesures peuvent être techniques, organisationnelles ou humaines.
Exemples de vulnérabilités :
- vulnérabilité de serveur : modification des paramètres dans les URLs, failles WAF etc.
- manipulation des données entrées : lorsqu’une application Web ne valide pas correctement les données entrées par l’utilisateur. Pour corriger cette vulnérabilité, les développeurs doivent mettre en œuvre des contrôles de validation appropriés pour toutes les données entrées par l’utilisateur.
- exploitation des faiblesses identifitants : pour corriger cette vulnérabilité, les développeurs doivent mettre en œuvre des contrôles d’authentification et d’autorisation appropriés.
- traverseée de répertoires : cette vulnérabilité se produit lorsqu’une application Web permet à un utilisateur d’accéder à des fichiers ou des répertoires qui ne lui sont pas autorisés. Cela peut permettre à un attaquant de voler des données sensibles ou d’exécuter du code malveillant. Pour corriger cette vulnérabilité, les développeurs doivent s’assurer que l’accès aux fichiers et aux répertoires est correctement contrôlé.
- injection de code et cross-scripting : ces vulnérabilités se produisent lorsqu’une application Web ne filtre pas correctement les données saisies par l’utilisateur. Cela peut permettre à un attaquant d’injecter du code malveillant dans l’application, ce qui peut entraîner une violation de la sécurité. Pour corriger ces vulnérabilités, les développeurs doivent mettre en œuvre des contrôles de filtrage appropriés pour toutes les données saisies par l’utilisateur.
- injection de commande SQL : cette vulnérabilité se produit lorsqu’une application Web permet à un utilisateur d’injecter des commandes SQL dans une requête SQL. Cela peut permettre à un attaquant de modifier ou de supprimer des données, ou d’exécuter du code malveillant sur le serveur. Pour corriger cette vulnérabilité, les développeurs doivent mettre en œuvre des contrôles d’injection SQL appropriés.
- failles de configuration : ces vulnérabilités se produisent lorsqu’une application Web n’est pas correctement configurée. Cela peut entraîner une exposition de données sensibles ou une vulnérabilité à l’attaque.
- Failles de sécurité des systèmes d’exploitation : ces vulnérabilités se produisent lorsqu’un système d’exploitation n’est pas correctement mis à jour. Cela peut entraîner une exposition de données sensibles ou une vulnérabilité à l’attaque.
Anglais : web application security