Sécuriser un site web et protégez-vous des hackers
Formation sécurisation des sites web
Nos équipes suivent régulièrement des formation permettant d’optimiser la sécurité des sites internet ainsi que les serveurs.
Afin d’apporter un service encore meilleur à nos clients, nous avons suivi une formation intra-entreprise sur la sécurisation informatique. Ces formations portaient sur la sécurisation des sites internet et la sécurisation des serveurs web. Nous avons également suivi des formations sur les bonnes pratiques à suivre pour éviter toutes failles de sécurité.
Nous avons fait notamment appel à la société société iTrust pour nous former ; iTrust est spécialisé dans tous ces domaines et réalise pour nous des audits sur certains de nos sites les plus sensibles.
Lors de ces formations nous avons abordé les principales attaques ainsi que les moyens pour s’en prémunir :
- XSS : faille XSS qui permettent de modifier du code dans des pages générée via une injection dans des champs vulnérables
- SQL Injections : cette attaque peut autoriser l’accès à un contenu protégé ou dévoiler des informations cachée
- XXE : basé sur l’interprétation de fichier XML envoyés par un client
- CSRF : permet d’acquérir une partie des droits de la victime en lui faisant exécuter des actions s’en qu’il en ai conscience
- RFI /LFI : permettent l’accès à des fichiers « sensible » du serveur et potentiellement à prendre la main sur la machine
- Upload : l’envoie de fichier est une source de risque très importante, les réceptions de fichiers doivent être gérés de manière très scrupuleuse
- NoSql Injection : le principe est le même que pour les injections SQL
- LDAP Injection : idem que les injections SQL mais pour les informations que l’on retrouve dans les annuaires LDAP
- Server Code Injection : exploitation d’une faille de sécurité du serveur
- HTTP Responce Splitting : consiste a envoyer des données qui modifie l’entête http
Les principaux sites référents
Pour avoir des explications sur toutes ces attaques et bien plus encore, vous pouvez consulter le site de l’OWASP qui fait référence en la matière.
L’OWASP met également à disposition un outil très intéressent qui nous permet de nous assurer que nos sites sont toujours sécurisés et prennent bien en compte les nombreuses évolutions en la matière : OWASP ZAP
OWASP Zed Attack Proxy.
Nos outils pour sécuriser un site web
Nous utilisons également les différents outils de la distribution KALI qui met à disposition de nombreux programmes permettant de tester les failles de sécurité. Certains de ces outils sont spécifiques pour des CMS (WordPress, Joomla…) ou pour un type de faille bien précis (injection SQL)… Tous ces outils sont dédiés pour sécuriser un site web.
Audit sécuriser un site web
Nous pouvons également faire un audit de sécurité de votre site web, quelques soit le cms que vous avez utilisé pour le développer. Nous auditerons le code source de votre site ainsi que le serveur qui héberge celui-ci. Diagram fait également appel à d’autres sociétés comme iTrust ou Orange Cybersécurité pour faire des audits externe de nos propres programmes.