Aller au contenu

Outils

Payloads All The Things

https://github.com/swisskyrepo/PayloadsAllTheThings

Payloads et bypass pour la sécurité des applications web.

JWT

https://jwt.io/

Encoder et décoder des token json.

Ngrok

https://ngrok.com/

Envoyer et recevoir des requêtes HTTP.

Nettoyer les entrées utilisateurs

Il existe des bibliothèques adaptées à cette fonction dans tous les langages comme DOMPurify en JavaScript ou HTMLPurifier en PHP.

Comment se protéger

Vous pourriez commencer par suivre les pratiques suivantes :

  • Mettre en place un cycle de vie de développement : Des frameworks, comme OpenSAMM (en anglais) existent pour formuler des stratégies de sécurité des applications adaptées aux risques spécifiques auxquels elles sont confrontées.

  • Mettre en place des tests unitaires et d’intégrationautomatisés : Une couverture de code complète, avec des tests automatisés, couplée à une logique de DevSecOps permettent de réduire les risques.

  • Gérer granulairement des ressources : Lors des phases de récupération des besoins métier, il est important de bien recueillir et évaluer les exigences techniques et fonctionnelles, dont la confidentialité des données de l’application. Ensuite, bien mettre en place et appliquer une gestion sécurisée des droits d’accès.

  • Séparer les couches systèmes et réseau de l’application : En divisant le déploiement en sous-systèmes modulaires ou en réseaux virtuels, il est plus facile de restreindre le niveau d'accès à des données et des ressources spécifiques. Ainsi, il est difficile pour les pirates d'étendre leur champ d'accès en cas d'attaque.

Credential stuffing

Le credential stuffing est un type d’attaque où des informations de comptes volées, généralement des listes d'identifiants et des mots de passe associés, sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisées adressées à des applications web.