코더들이 보안을 정복하다: 공유 및 학습 시리즈 - 로컬 파일 포함 및 경로 탐색
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
다른 많은 취약점과는 달리, 로컬 파일 포함 및 경로 탐색 프로세스를 악용하려면 충분히 숙련된 공격자와 상당한 시간, 그리고 아마도 약간의 운이 필요합니다.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment habile, beaucoup de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Des attaquants habiles peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoire ou même voler des mots de passe et des informations sur les utilisateurs qui peuvent être utilisés pour des attaques secondaires dangereuses.
Dans cet épisode, vous apprendrez
- Comment les pirates exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins d'accès
- Pourquoi il peut être dangereux d'autoriser l'inclusion de fichiers locaux sans restriction et la traversée de chemins d'accès ?
- Les politiques et les techniques qui peuvent être employées pour trouver et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et le détournement de chemin ?
Le célèbre détective de télévision Columbo avait l'habitude de dire "Encore une chose" juste avant de livrer une information précieuse qui permettrait d'élucider l'affaire en cours. Cette information semblait sans importance à ce moment-là et était presque toujours ignorée par le suspect, mais elle s'avérait toujours être sa perte. Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichier local et de traversée de chemin utilisent le mécanisme d'inclusion de fichier dynamique qui existe dans la plupart des cadres de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant glisse le nom d'un fichier qui existe sur le serveur local dans une zone d'une application web telle qu'un en-tête ou une zone d'entrée de formulaire. L'application traite l'entrée principale normalement, mais aussi la commande include(page) ou une commande similaire. Dans le cas de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. C'est un peu comme Columbo : le pirate ne se préoccupe pas de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter "juste une chose de plus" à la fin.
Dans les deux cas, l'attaquant doit normalement procéder par tâtonnements. À moins qu'il ne connaisse très bien la structure du site, deviner les configurations de chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Il se peut donc que cela ne prenne pas autant de temps que vous le pensez. Et comme le paiement est potentiellement très lucratif, les pirates ont tout intérêt à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin d'accès une fois qu'elles sont trouvées.
Pourquoi les vulnérabilités d'inclusion de fichier local et de franchissement de chemin sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemin sont dangereuses car elles peuvent permettre à des pirates d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mots de passe ou de configuration de l'utilisateur constituent souvent une cible privilégiée, car ils permettent d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peuvent permettre à un pirate de voler tout le contenu d'une base de données dans le pire des cas.
Pour les fichiers exécutables, le danger est que l'accès à ces fichiers peut permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même de monter un type d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'étendue du danger n'est limitée que par l'ingéniosité et l'habileté du pirate, et par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Élimination de la menace que représentent l'inclusion de fichiers locaux et le détournement de chemin d'accès
Le danger posé par l'inclusion de fichiers locaux et les vulnérabilités de traversée de chemin peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser l'entrée de l'utilisateur dans "file include" ou d'autres commandes ayant des fonctions similaires. Si une application doit l'autoriser, ne la transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend l'entrée de l'utilisateur et l'associe à un ensemble de valeurs de confiance codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, accordez une attention particulière à toutes les zones d'entrée contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent figurer sur une liste blanche et toutes les autres doivent être explicitement refusées. Lorsque cela n'est pas possible, utilisez la validation d'entrée pour réglementer étroitement les valeurs autorisées telles que les nombres, les valeurs alphanumériques, etc.
Plus d'informations sur l'inclusion de fichiers locaux et le détournement de chemin d'accès
Pour en savoir plus, vous pouvez consulter le guide de test de l'OWASP pour l'inclusion de fichiers locaux et les exploits de traversée de chemin. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
Ressources utiles pour débuter
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.