Bugs Web et logiciels

Dans cours

Description

Cette séance de cours couvre les vulnérabilités communes dans les applications Web et logicielles, telles que le contrôle d'accès cassé, les défaillances cryptographiques, les défauts d'injection, la conception non sécurisée et les erreurs de configuration de sécurité. Il explique l'impact des données contrôlées par les attaquants, le projet OWASP Top 10, et les stratégies de défense comme DEP, ASLR, et pile canaris.

Connectez-vous pour regarder la vidéo

Enseignants (3)

Source officielle

https://mediaspace.epfl.ch/media/0_40gs5m60

À propos de ce résultat

Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.

Séances de cours associées (4)

Concepts associés (139)

Contrôle d'accès à base de rôles

Le contrôle d'accès basé sur les rôles (« Role-Based Access Control » (RBAC) en anglais) est un modèle de contrôle d'accès à un système d'information dans lequel chaque décision d'accès est basée sur le rôle auquel l'utilisateur est associé. La typologie et la granularité des rôles découlent généralement de la structure de l'entreprise ou de l'organisation ayant adopté ce système. Les utilisateurs exerçant des fonctions similaires peuvent être regroupés sous le même rôle.

Injection de code

vignette|Qu'est-ce que l'injection de code ? (anglais) Une injection de code est un type d'exploitation d'une faille de sécurité d'une application, non prévue par le système et pouvant compromettre sa sécurité, en modifiant son exécution. Certaines injections de code ont pour but d'obtenir une élévation des privilèges, ou d'installer un logiciel malveillant. Il s'agit aussi du mode de propagation des vers informatiques. Injection de code dans les applications web Injection SQL Catégorie:Exploit (informatiqu

Contrôle d'accès obligatoire

Le Mandatory access control (MAC) ou contrôle d'accès obligatoire est une méthode de gestion des droits des utilisateurs pour l'usage de systèmes d'information. Il existe d'autres méthodes telles que : le contrôle d'accès discrétionnaire (ou Discretionary Access Control - DAC) ; le contrôle d'accès à base de rôles (ou Role-Based Access Control - RBAC). Le contrôle d'accès obligatoire est utilisé lorsque la politique de sécurité des systèmes d’information impose que les décisions de protection ne doivent pas être prises par le propriétaire des objets concernés, et lorsque ces décisions de protection doivent lui être imposées par le dit système.

Access Control List

(ACL) — liste de contrôle d'accès en français — désigne traditionnellement deux choses en sécurité informatique : un système permettant de faire une gestion plus fine des droits d'accès aux fichiers que ne le permet la méthode employée par les systèmes UNIX. en réseau, une liste des adresses et ports autorisés ou interdits par un pare-feu. La notion d'ACL est cela dit assez généraliste, et on peut parler d'ACL pour gérer les accès à n'importe quel type de ressource.

Stack-Smashing Protector

Le Stack-Smashing Protector (également appelé SSP, et autrefois connu sous le nom de ProPolice) est une extension au compilateur GCC qui permet de minimiser les dommages qui peuvent être dus à des attaques de type dépassement de tampon. En particulier, il fournit une protection contre la corruption de pile (stack-smashing). La protection Stack-Smashing Protector a originairement été écrite, et est toujours entretenue, par Hiroaki Etoh d'IBM. La première implémentation a été faite pour GCC 3 et a ensuite été réécrite de façon moins intrusive puis intégrée dans GCC 4.