Sécurité Web

Risques:

• Attaque DDoS (Distributed Denial of Service attack)
  Perturbation des connexions entre deux machines Obstruction d'un service Bombardement d'envoi d'information

• Man-in-the-Middle
  Interception des communications entre une personne A et une personne B par une personne ne faisant pas partie de l'échange.

• Injection SQL
  technique visant à endommager un site internet et/obtenir des informations d'une base de données

Contre mesures possible:

• HTTPS: La communication entre le client Web et le serveur Web est chiffrée. Ceci afin d’empêcher qu’un tiers non autorisé « écoute » la communication
  Le serveur Web est authentifié par le fait qu’en tout début de communication, un certificat est envoyé au client Web pour attester de la crédibilité du domaine. Cette mesure contribue à combattre les tromperies résultant de faux sites Web.
• Installation de firewall
• Faire des back-up réguliers
• requêtes préparées (paramètres d'une requête SQL interprètées indépendamment de la requête elle-même)

Contre mesures appliquées.

• Https
  Nous avons mis en place des certificats pour nos sites web grâce à certbot. Les packages sont déjà présents sur les services Linux. Une fois que votre service mail est RUN, il vous suffit de rentrer dans le container et de lancer deux commandes.
  sudo apt install certbot python3-certbot-apache
  Vous permet d'installer les compléments nécessaires au bon fonctionnement de certbot pour vos serveurs apaches.

La deuxième est seulement pour lancer certbot sudo certbot --apache. Au lancement vous devrez donner une adresse mail de contact et si vos serveurs web sont bien configurés certbot détectera vos sites et s'occupera de la génération des clés.

• Requêtes préparées
  Il s'agit simplement d'adapter vos requêtes sql à un style de codage en fonction des librairies que vous avez choisi. Je crois qu'il l'expliquera bien mieux que moi. Lien