Audit de sécurité d'un site web
Fermé
ASSWI
Messages postés
3
Date d'inscription
mardi 10 mai 2011
Statut
Membre
Dernière intervention
13 mai 2011
-
10 mai 2011 à 19:47
joestar75 Messages postés 148 Date d'inscription dimanche 16 septembre 2007 Statut Membre Dernière intervention 20 septembre 2011 - 13 mai 2011 à 22:47
joestar75 Messages postés 148 Date d'inscription dimanche 16 septembre 2007 Statut Membre Dernière intervention 20 septembre 2011 - 13 mai 2011 à 22:47
A voir également:
- Audit de sécurité d'un site web
- Site de telechargement - Accueil - Outils
- Web office - Guide
- Création site web - Guide
- Site comme coco - Accueil - Réseaux sociaux
- Site de vente en ligne particulier - Guide
5 réponses
sudoer
Messages postés
113
Date d'inscription
lundi 9 mai 2011
Statut
Membre
Dernière intervention
11 juin 2011
14
10 mai 2011 à 20:18
10 mai 2011 à 20:18
Tout dépend de si tu t'y connais en attaques ou pas. Par exemple, est-ce-que tu sais ce qu'est l'injection SQL ou le dénis de service?
ASSWI
Messages postés
3
Date d'inscription
mardi 10 mai 2011
Statut
Membre
Dernière intervention
13 mai 2011
10 mai 2011 à 23:30
10 mai 2011 à 23:30
@Sudoer :
Merci d'avoir répondu.
Mes connaissance en matière d'attaques sont très générales, mais je viens de faire une petite lecture sur les différentes exploitations possibles.
L'audit consiste-t-il à itérer les attaques et à en observer les conséquences ?
Y a-t-il une méthodologie ou un standard à suivre pour réaliser l'audit.
Toute documentation sur le sujet me sera d'une grande utilité.
Merci.
Merci d'avoir répondu.
Mes connaissance en matière d'attaques sont très générales, mais je viens de faire une petite lecture sur les différentes exploitations possibles.
L'audit consiste-t-il à itérer les attaques et à en observer les conséquences ?
Y a-t-il une méthodologie ou un standard à suivre pour réaliser l'audit.
Toute documentation sur le sujet me sera d'une grande utilité.
Merci.
sudoer
Messages postés
113
Date d'inscription
lundi 9 mai 2011
Statut
Membre
Dernière intervention
11 juin 2011
14
11 mai 2011 à 13:40
11 mai 2011 à 13:40
Tout d'abord, A ta place, je ne ferais rien qui pourrait endommager le site, donc il ne vaut mieux pas tester les attaques de types dénis de service.
Mais pour identifier les attaques possibles, il fut déjà les connaître, et ce n'est pas le but de ccm des les mettre à disposition, donc je ne peut pas te faire un cours là-dessus.
Tu peux commencer à te renseigner sur l'injection SQL car c'est un classique ( https://fr.wikipedia.org/wiki/Injection_SQL ).
il y a aussi une grande part des attaques qui consistent à s'en prendre au serveur physique sur lequel est hébergé le site, donc ça implique de connaître le type de serveur et puisque se sont généralement des Linux ou Unix, de connaître ces systèmes.
Là aussi, il y a des classiques comme "Land", "Syn flood" et "pinf of death".
il faut aussi connaître les protocoles réseaux comme ICMP, TCP/IP ...
Et puis, il peut y avoir d'autres failles. Si le serveur Web possède un serveur de messagerie, c'est un risque supplémentaire.
Tu peux faire des épreuves de hacking sur ce site: https://www.newbiecontest.org/
tu trouver peut-être des infos dans des bouquins plutôt que sur les net.
Mais pour identifier les attaques possibles, il fut déjà les connaître, et ce n'est pas le but de ccm des les mettre à disposition, donc je ne peut pas te faire un cours là-dessus.
Tu peux commencer à te renseigner sur l'injection SQL car c'est un classique ( https://fr.wikipedia.org/wiki/Injection_SQL ).
il y a aussi une grande part des attaques qui consistent à s'en prendre au serveur physique sur lequel est hébergé le site, donc ça implique de connaître le type de serveur et puisque se sont généralement des Linux ou Unix, de connaître ces systèmes.
Là aussi, il y a des classiques comme "Land", "Syn flood" et "pinf of death".
il faut aussi connaître les protocoles réseaux comme ICMP, TCP/IP ...
Et puis, il peut y avoir d'autres failles. Si le serveur Web possède un serveur de messagerie, c'est un risque supplémentaire.
Tu peux faire des épreuves de hacking sur ce site: https://www.newbiecontest.org/
tu trouver peut-être des infos dans des bouquins plutôt que sur les net.
ASSWI
Messages postés
3
Date d'inscription
mardi 10 mai 2011
Statut
Membre
Dernière intervention
13 mai 2011
13 mai 2011 à 22:28
13 mai 2011 à 22:28
On m'a recommandé le livre "The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws". Il est très complet.
Dans d'autres lectures, j'ai rencontré des standards et des méthodes tels que ISO 27001, ISO 27002, MEHARI... En quoi pourraient-ils m'être utiles ?
Dans d'autres lectures, j'ai rencontré des standards et des méthodes tels que ISO 27001, ISO 27002, MEHARI... En quoi pourraient-ils m'être utiles ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
joestar75
Messages postés
148
Date d'inscription
dimanche 16 septembre 2007
Statut
Membre
Dernière intervention
20 septembre 2011
11
13 mai 2011 à 22:47
13 mai 2011 à 22:47
Bonjour,
Tu peux également te documenter sur les principales solutions logicielles d'audit du marché. Une mine d'informations... sur les vulnérabilités existantes, leur causes ainsi que les parades.
Acunetix, pour ne citer que lui, dispose d'un grand nombre d'infos, ainsi qu'une version d'évaluation mais limitée à la recherche de vulnérabilités de type XSS (Cross Site Scripting).
Tu peux également te documenter sur les principales solutions logicielles d'audit du marché. Une mine d'informations... sur les vulnérabilités existantes, leur causes ainsi que les parades.
Acunetix, pour ne citer que lui, dispose d'un grand nombre d'infos, ainsi qu'une version d'évaluation mais limitée à la recherche de vulnérabilités de type XSS (Cross Site Scripting).
