Les codeurs vainquent la sécurité : Share & Learn Series - Inclusion de fichiers locaux et détournement de chemin d'accès
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment compétent, beaucoup de temps et peut-être un peu de chance.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.