Les premières attaques réseau exploitaient des fragilités liées à l'implémentation des protocoles de la suite TCP/IP. Avec la correction progressive de ces fragilités les attaques se sont décalées vers les couches applicatives et en particulier le web, dans la mesure où la plupart des entreprises ouvrent leur système pare-feu pour le trafic destiné au web.
Le protocole HTTP (ou HTTPS) est le standard permettant de véhiculer les pages web par un mécanisme de requêtes et de réponses. Il est utilisé essentiellement pour transporter des pages web statiques, le web est rapidement devenu un support interactif permettant de fournir des services en ligne.
Le terme d'"application Web" désigne ainsi toute application dont l'interface est accessible à travers le web à l'aide d'un simple navigateur (...)
[...] Par ailleurs, il existe une version libre de SSL : OpenSSL. Handshake : Ce protocole permet l'authentification mutuelle du client et du serveur, la négociation des algorithmes de chiffrement, de hachage, et l'échange des clés symétriques qui assurent le chiffrement. Cipher Specdd : Ce protocole comprend un seul et unique message octet) qui porte le même nom que le protocole, il permet d'indiquer au protocole Record la mise en place des algorithmes de chiffrement qui viennent d'être négociés. Alert : Ce protocole génère des messages d'alerte suite aux erreurs que peuvent s'envoyer le client et le serveur. [...]
[...] Remplacer : - SSLSessionCache "shmcb:C:/Program Files/Apache Software Foundation/Apache 2.2 /logs/ssl_scache(512000)" par: - SSLSessionCache "shmcb:C:/wamp/bin/Apache/apache 2.2 .11/conf/ssl/logs/ssl_scache(512000)" Remplacer: - SSLCertificateFile "C:/Program Files/Apache Software Foundation/Apache 2.2 /conf/server.crt" par: - SSLCertificateFile "C:/wamp/bin/Apache/apache 2.2 .11/conf/ssl/dess.crt" Remplacer: - SSLCertificateKeyFile "C:/Program Files/Apache Software Foundation/Apache 2.2 /conf/server.key" par: - SSLCertificateKeyFile "C:/wamp/bin/Apache/apache 2.2 .11/conf/ssl/dess.key" Remplacer: - SSLMutex "file:C:/Program Files/Apache Software Foundation/Apache 2.2 /conf/ssl/logs/ssl_mutex" par: - SSLMutex default Dans on va définir le chemin du https (C:/wamp/www/dess) et le nom de server (dess): Remplacer: - # General setup for the virtual host DocumentRoot "C:/Program Files/Apache Software Foundation/Apache 2.2 .11/htdocs" ServerName localhost:443 ServerAdmin admin@localhost ErrorLog "C:/Program Files/Apache Software Foundation/Apache 2.2 .11/logs/error_log" TransferLog "C:/Program Files/Apache Software Foundation/Apache 2.2 .11/logs/access_log" par: - # General setup for the virtual host DocumentRoot "C:/wamp/www/dess" ServerName dess:443 ServerAdmin admin@localhost ErrorLog "C:/wamp/bin/Apache/apache 2.2 .11/conf/ssl/logs/ssl_error.log" TransferLog "C:/wamp/bin/Apache/apache 2.2 .11/conf/ssl/logs/ssl_access.log" Remplacer: - SSLOptions +StdEnvVars par: - SSLOptions +StdEnvVars Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny allow from all Remplacer: - CustomLog "C:/Program Files/Apache Software Foundation/Apache 2.2 /logs/ssl_request_log" %{SSL_PROTOCOL}x %{SSL_CIPHER}x par: - CustomLog "C:/wamp/logs/ssl_request.log" %{SSL_PROTOCOL}x %{SSL_CIPHER}x Ouvrir le fichier httpd.conf du apache 2.2 .11\conf, avec un editeur de texte, aprés en avoir fait une sauvegarde. Remplacer: - # Secure (SSL/TLS) connections #Include conf/extra/httpd-ssl.conf par: Secure (SSL/TLS) connections Include conf/extra/httpd-ssl.conf Dans apache 2.2 .11\bin, copier les 2 fichiers: libeay32.dll et ssleay32.dll, et les coller dans System32. En fin et après avoir enregistrer un fichier index.html dans dess, on ouvre un navigateur (Internet Explorer) et on tape : https://localhost/. [...]
[...] Les fragilités des applications web peuvent être catégorisées de la manière suivante : Fragilités du serveur web. Ce type de cas est de plus en plus rare car au fur et à mesure des années les principaux développeurs de serveurs web ont renforcé leur sécurisation ; Manipulation des URL, consistant à modifier manuellement les paramètres des URL afin de modifier le comportement attendu du serveur web ; Exploitation des faiblesses des identifiants de session et des mécanismes d'authentification ; Injection de code HTML et Cross-Site Scripting ; Injection de commandes SQL. [...]
[...] Ainsi, la sécurité des services web doit être un élément pris en compte dès leur conception et leur développement. [...]
[...] Devenu le support d'un certain nombre de technologies (SOAP, JavaScript, XML RPC, etc.), le protocole HTTP possède désormais un rôle stratégique certain dans la sécurité des systèmes d'information. Le présent rapport a pour but de montrer les étapes de la sécurisation d'un serveur Web (Apache) sur les plateformes UNIX et Windows par le protocole OpenSSL en introduisant les notions de clés et de certificat. Définition SSL(Secure Socket Layer) est un protocole de sécurisation des échanges sur internet, développé par Netscape; Il en existe plusieurs versions, à savoir: la version 2.0 développée par Netscape; la version 3.0 qui est actuellement la plus répandue, et la version 3.1 nommée TLS (transport Layer Security) et en 2001, standardisée par l'IETF (Internet Engineering Task Force). [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture