Sécurité d'application web au centre du développement
Salut ; voila au bout certain moment j'ai terminé ma première application web avec l'appui des forumeurs. certes y'avait beaucoup d'insuffisances :aie:
je veux resté sur le plan sécurité:
application de type d’apprentissage qui tourne en locale,
pour la connexion j'utilise PDO,
accès sécurisé par user , mot de pass et captcha,
cryptage du mot de passe : aucun faute de choix de méthode ( MD5 ou autres..)
Mise a jour des données avec des requêtes préparées,
les pages du site sont géré de tel sorte une fausse URL renvoi vers la page d’authentification,
je sais que c'est pas suffisant contre les risques les plus sérieux et cela par ignorance , donc si je simule le risque d'attaque d'une application web par rapport a une pathologie (maladie ) vue mon domaine:
attaquant ==> vecteur/véhicule ==> brèche ==> organe cible.
je crois que la sécurité d'une application web doit être pensée avant le développement et afin de parvenir Comment peut on listé les risques?
Comment peut on listé les risques?
salut ; avant de répondre a cette question , je crois que la sécurité d'une application web touche l'humain , le matériel et le soft.
donc si je reste sur le soft et précisément l'application web:
- Le développeur prend en charge le coté sécurité de l'application ( code source)
- la formule : connaitre le risque = développez barrière
Connaitre le risque:
Une bonne lecture autour des risques liés aux vulnérabilités des applications web sur le net permet grandement d'avoir une vue d'ensemble sur les phénomènes d'attaques, et de ce développez un plan de sécurité.
partant de la frontière entre le net et l'application web (structure et contenu) , dans mon cas c'est :
- adresse URL,
- L'interface d’authentification porte d'entrée,
pour mois sa représente les deux entrés possible par l'attaquant.
mesures prises:
pour les gestion de l'URL : j'ai développé un petit code PHP de redirection vers la page authentification dans le cas ou l’attaquant entre l'adresse exemple www.monsite/admin ou autre user.
les mots communs comme admin user jamais utilisé dans mon site.
le contrôle de l'authentification ( utilisateur - mp) se fait par du code PHP + requêtes préparées + desactivation de l'auto-completion.
le crypatge du mot de passe est en instance ( actuellement je me documente sur la meilleur méthode).
avant de continué est ce que je suis dans la bonne voie ? :?