Les codeurs vainquent la sécurité : Share & Learn Series - Inclusion de fichiers locaux et détournement de chemin d'accès
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment compétent, beaucoup de temps et peut-être un peu de chance.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Il est notoirement difficile de trouver des données significatives sur le succès des initiatives Secure-by-Design. Les RSSI sont souvent confrontés à des difficultés lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise. De plus, il est particulièrement difficile pour les entreprises d'obtenir des informations sur la façon dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a mis les parties prenantes au défi d'"adopter la sécurité et la résilience dès la conception". Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour assurer la sécurité du code, mais aussi garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de sources primaires multiples, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur des données, et des études publiques. En nous appuyant sur cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives Secure-by-Design dans de multiples secteurs verticaux. Le rapport explique en détail pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de perfectionnement réussi peut avoir sur l'atténuation des risques de cybersécurité, et le potentiel d'élimination des catégories de vulnérabilités d'une base de code.
Services professionnels - Accélérer grâce à l'expertise
L'équipe des services de stratégie de programme (PSS) de Secure Code Warriorvous aide à construire, améliorer et optimiser votre programme de codage sécurisé. Que vous partiez de zéro ou que vous affiniez votre approche, nos experts vous fournissent des conseils sur mesure.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu, à la pointe de l'industrie, évolue constamment pour s'adapter au paysage du développement logiciel en constante évolution, tout en gardant votre rôle à l'esprit. Les sujets abordés vont de l'IA à l'injection XQuery, et sont proposés pour une variété de rôles, des architectes et ingénieurs aux gestionnaires de produits et à l'assurance qualité. Découvrez en avant-première ce que notre catalogue de contenu a à offrir par sujet et par rôle.
Quêtes : Apprentissage de pointe pour permettre aux développeurs de garder une longueur d'avance et d'atténuer les risques.
Quests est une learning platform qui aide les développeurs à atténuer les risques liés à la sécurité des logiciels en améliorant leurs compétences en matière de codage sécurisé. Grâce à des parcours d'apprentissage, des défis pratiques et des activités interactives, elle permet aux développeurs d'identifier et de prévenir les vulnérabilités.
Ressources pour vous aider à démarrer
Vibe Coding va-t-il transformer votre base de code en une fête de fraternité ?
Le codage vibratoire est comme une fête de fraternité universitaire, et l'IA est la pièce maîtresse de toutes les festivités, le tonneau. C'est très amusant de se laisser aller, d'être créatif et de voir où votre imagination peut vous mener, mais après quelques barils, boire (ou utiliser l'IA) avec modération est sans aucun doute la solution la plus sûre à long terme.
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
