Audit de sécurité d'un site web
ASSWI
Messages postés
3
Statut
Membre
-
joestar75 Messages postés 158 Statut Membre -
joestar75 Messages postés 158 Statut Membre -
Bonjour,
Je dois réaliser l'audit de sécurité d'un site web. C'est un devoir que je dois terminer en une semaine, mais je ne sais pas par où commencer. J'aurai besoin de toutes vos indications. Astuces, méthodes, Livres, articles, tutoriels... seront toutes les bienvenues.
Merci.
Je dois réaliser l'audit de sécurité d'un site web. C'est un devoir que je dois terminer en une semaine, mais je ne sais pas par où commencer. J'aurai besoin de toutes vos indications. Astuces, méthodes, Livres, articles, tutoriels... seront toutes les bienvenues.
Merci.
A voir également:
- Audit de sécurité d'un site web
- Site de telechargement - Accueil - Outils
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Creation de site web - Guide
- Web office - Guide
- Site x - Guide
5 réponses
Tout dépend de si tu t'y connais en attaques ou pas. Par exemple, est-ce-que tu sais ce qu'est l'injection SQL ou le dénis de service?
@Sudoer :
Merci d'avoir répondu.
Mes connaissance en matière d'attaques sont très générales, mais je viens de faire une petite lecture sur les différentes exploitations possibles.
L'audit consiste-t-il à itérer les attaques et à en observer les conséquences ?
Y a-t-il une méthodologie ou un standard à suivre pour réaliser l'audit.
Toute documentation sur le sujet me sera d'une grande utilité.
Merci.
Merci d'avoir répondu.
Mes connaissance en matière d'attaques sont très générales, mais je viens de faire une petite lecture sur les différentes exploitations possibles.
L'audit consiste-t-il à itérer les attaques et à en observer les conséquences ?
Y a-t-il une méthodologie ou un standard à suivre pour réaliser l'audit.
Toute documentation sur le sujet me sera d'une grande utilité.
Merci.
Tout d'abord, A ta place, je ne ferais rien qui pourrait endommager le site, donc il ne vaut mieux pas tester les attaques de types dénis de service.
Mais pour identifier les attaques possibles, il fut déjà les connaître, et ce n'est pas le but de ccm des les mettre à disposition, donc je ne peut pas te faire un cours là-dessus.
Tu peux commencer à te renseigner sur l'injection SQL car c'est un classique ( https://fr.wikipedia.org/wiki/Injection_SQL ).
il y a aussi une grande part des attaques qui consistent à s'en prendre au serveur physique sur lequel est hébergé le site, donc ça implique de connaître le type de serveur et puisque se sont généralement des Linux ou Unix, de connaître ces systèmes.
Là aussi, il y a des classiques comme "Land", "Syn flood" et "pinf of death".
il faut aussi connaître les protocoles réseaux comme ICMP, TCP/IP ...
Et puis, il peut y avoir d'autres failles. Si le serveur Web possède un serveur de messagerie, c'est un risque supplémentaire.
Tu peux faire des épreuves de hacking sur ce site: https://www.newbiecontest.org/
tu trouver peut-être des infos dans des bouquins plutôt que sur les net.
Mais pour identifier les attaques possibles, il fut déjà les connaître, et ce n'est pas le but de ccm des les mettre à disposition, donc je ne peut pas te faire un cours là-dessus.
Tu peux commencer à te renseigner sur l'injection SQL car c'est un classique ( https://fr.wikipedia.org/wiki/Injection_SQL ).
il y a aussi une grande part des attaques qui consistent à s'en prendre au serveur physique sur lequel est hébergé le site, donc ça implique de connaître le type de serveur et puisque se sont généralement des Linux ou Unix, de connaître ces systèmes.
Là aussi, il y a des classiques comme "Land", "Syn flood" et "pinf of death".
il faut aussi connaître les protocoles réseaux comme ICMP, TCP/IP ...
Et puis, il peut y avoir d'autres failles. Si le serveur Web possède un serveur de messagerie, c'est un risque supplémentaire.
Tu peux faire des épreuves de hacking sur ce site: https://www.newbiecontest.org/
tu trouver peut-être des infos dans des bouquins plutôt que sur les net.
On m'a recommandé le livre "The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws". Il est très complet.
Dans d'autres lectures, j'ai rencontré des standards et des méthodes tels que ISO 27001, ISO 27002, MEHARI... En quoi pourraient-ils m'être utiles ?
Dans d'autres lectures, j'ai rencontré des standards et des méthodes tels que ISO 27001, ISO 27002, MEHARI... En quoi pourraient-ils m'être utiles ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Tu peux également te documenter sur les principales solutions logicielles d'audit du marché. Une mine d'informations... sur les vulnérabilités existantes, leur causes ainsi que les parades.
Acunetix, pour ne citer que lui, dispose d'un grand nombre d'infos, ainsi qu'une version d'évaluation mais limitée à la recherche de vulnérabilités de type XSS (Cross Site Scripting).
Tu peux également te documenter sur les principales solutions logicielles d'audit du marché. Une mine d'informations... sur les vulnérabilités existantes, leur causes ainsi que les parades.
Acunetix, pour ne citer que lui, dispose d'un grand nombre d'infos, ainsi qu'une version d'évaluation mais limitée à la recherche de vulnérabilités de type XSS (Cross Site Scripting).
