PUBLIC MARKS from dzc with tags securité & "conception web"

PHP-Intrusion Detection System

* mardi 10 octobre 2006 "Les applications Web 2.0, avec leur AJAX sont d'autant plus vulnérables aux attaques de sécurité. XML, découverte de services, empoisonnement des données, il existe tout une collection de moyens pour perturber le bon fonctionnement. Les requêtes en tâche de fond sont notamment à craindre, puisqu'avec elles, un utilisateur peut exécuter un très grand nombre d'action sans être alertés. Les XSS sont donc la première vulnérabilité à traquer et éliminer. D'autres soucis sont possibles, via XML, les services Web ou encore les manipulations d'arguments via SOAP : ce sont des déclinaisons des vecteurs traditionnels des applications Web."

"Chris Shiflett résume les points à retenir pour limiter au maximum les risques de vulnérabilité d'une application PHP. 1. Filtrez toutes les données en entrée 2. Utilisez les fonctions existantes 3. N'acceptez que les contenus sécurisés 4. Utilisez une convention de noms 5. Soyez innovants L'article présente aussi les CSRF, et les moyens de les éviter." (nexen)