Les codeurs conquièrent la sécurité : série Share & Learn - Inclusion de fichiers locaux et traversée de chemins
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
