Piratage des serveurs Web et sécurité des applications Web | Chapitre 10 | Ép. 10.2023

Lorsque vous dépassez l’identification des ports ouverts, vous commencez le processus de piratage d’applications Web. Dans cet épisode, nous levons le rideau sur les composants dynamiques qui alimentent le Web moderne, de PHP et JavaScript à la connectivité des bases de données via ODBC/ADO. Nous analysons comment les choix de conception des développeurs, tels que les formulaires dynamiques et les scripts côté serveur, créent par inadvertance des vulnérabilités exploitées par les attaquants, et nous fournissons une feuille de route pour tester et sécuriser ces interfaces critiques. Interagissez directement avec le matériel source et testez vos connaissances avec notre outil d'étude alimenté par l'IA : https://notebooklm.google.com/notebook/af9194f8-c109-4c4f-b913-5cb992a1cfdc Dr Joseph H. Schuessler | Professeur de systèmes d'information, Tarleton State University | Réviseur principal de Quality Matters (QM) | Certification avancée ACUE en enseignement efficace. Référence du manuel : Wilson, RS, Simpson, MT et Antill, N. (2022). Piratage éthique pratique et défense des réseaux (4e éd.). Cengage. https://www.cengage.com/c/hands-on-ethical-hacking-and-network-defense-4e-wilson-simpson-antill/9780357509753/ Ressources discutées : OWASP Top Ten Project : https://owasp.org/www-project-top-ten/ Burp Suite : https://portswigger.net/burp Zed Attack Proxy (ZAP) : https://www.zaproxy.org/ Ce que vous apprendrez dans cet épisode : 0:00 – Le paradoxe du formulaire Web : périmètre contre application 1:33 – Sécurité des applications (AppSec) : l'enfant du milieu négligé 4:22 – L'évolution du Web : statique contre dynamique 7:40 – Architecture : CGI, formulaires Web et frameworks de serveur 12:06 – Le risque de chaîne d'approvisionnement des cadres tiers 14:10 – Rivalité des serveurs Web : IIS contre Apache 18:16 – Langages de script : PHP, Cold Fusion et JavaScript 21:36 – Le danger de l'exécution côté client (JavaScript) 23:51 – Interconnectivité des bases de données : ODBC, OLE DB et ADO 27:39 – L'anatomie d'une connexion ADO 30:19 – L'impact d'une compromission du serveur Web 32:15 – L'OWASP Top 10 : Cartographie du paysage des menaces 34:12 – WebGoat : Safe Sandboxing pour les testeurs de sécurité 36:18 – Méthodologies de test : SAST, DAST et IAST 39:07 – Collecte d'informations et cartographie de l'architecture 40:29 – Tests d'authentification ou d'autorisation 41:39 – Validation des entrées : répartition des injections SQL 46:04 – Risques d'injection SQL aveugle et de gestion des erreurs 48:25 – Défauts d'implémentation cryptographique 49:14 – Tests de logique métier : subversion des flux séquentiels 51:00 – Contrôles côté client : le piège de commodité 52:14 – La boîte à outils d'analyse des applications Web 54:19 – Suite Burp : le proxy lourd 56:36 – Fuzzing avec Wapiti : ingénierie du chaos pour les applications Web 58:52 – Conclusion : penser comme un Transparence de l'apprentissage assisté par l'IA Adversary : ce contenu a été développé avec l'aide de Google Gemini et NotebookLM. Ces outils ont été exploités pour organiser les concepts de cours, synthétiser la documentation technique et créer du matériel d'étude interactif pour les étudiants.