Widget Image
Saint-Maur-des-Fossés
06.65.13.24.36
dev@maxime-guinard.com
Suivez-moi
marketing banniere
   SEO    5 techniques PHP pour minimiser les vulnérabilités de sécurité Web

5 techniques PHP pour minimiser les vulnérabilités de sécurité Web

Comprendre la sécurité des sites Web est généralement difficile pour les développeurs débutants. La façon la plus simple d’expliquer cette école de pensée est qu’un site Web n’est ni sécurisé ni non sécurisé. C’est en fait le taux de sécurité d’un site Web. Les violations de données sont en augmentation et aucune organisation n’est à l’abri. Chez Keller Lenkner UK, des avocats experts en violation de données aident les clients à faire des réclamations réussies pour violation de données dans un large éventail de secteurs. Il n’y a pas de noir et blanc dans la sécurité du site Web; il y a toujours une zone grise. La sécurité d’un site développé en PHP dépend des compétences du développeur.

Selon certaines sources, près de 90 % de tous les sites Web sont vulnérables aux attaques de pirates. Les cybermenaces évoluent constamment. Pour rester au fait des tendances émergentes, une organisation doit être innovante et informée, cela prend beaucoup de temps et d’efforts.

La majorité des sites Web ont été piratés au cours des cinq dernières années en ciblant le codage non sécurisé du site Web. Les attaques courantes sont effectuées sur SQL Injection, Buffer Overflow, XXS et Remote File Inclusion. C’est l’une des raisons pour lesquelles la plupart des entrepreneurs souhaitent que leurs sites Web soient développés en PHP.

Mais des informations sensibles peuvent également être volées sur des sites Web développés en PHP en manipulant le paramètre URL. Certaines raisons courantes pour un piratage PHP facile incluent des erreurs dans les extraits, des chaînes d’entrée surprises ou de mauvaises combinaisons de paramètres PHP.

Fonctionnalités PHP pour identifier les scripts de sécurité

1. Les programmeurs peuvent envoyer des e-mails via un script PHP. Si des modifications sont apportées au script ou si le script est mal codé, le serveur de messagerie enverra automatiquement un faux e-mail au programmeur en récupérant certaines informations de l’en-tête. Le faux e-mail pourrait ressembler à ceci.

<?php

$header = ‘From: ‘ . $_Get[‘from’] . \’’r\’’n\ .
‘Reply-to: . $-Get[‘replyto’] . \’’r\’’n\ .
$Mail = mail($_Get[‘to’],$_Get[‘Subject’],$_Get[‘Message’],$header);

?>

2. Les pirates peuvent accéder au répertoire racine du serveur et endommager les fichiers en ciblant les applications Web et en lançant une commande non autorisée du système d’exploitation. Les informations d’entrée sont transmises via le script d’obtention ou POST. Le pirate saisit le nom de domaine et des fichiers malveillants sont créés dans le répertoire www du serveur sous le nom de filename.php. Cette attaque est facilement lancée sur des codes PHP mal écrits.

3. L’attaque par inclusion de fichiers à distance est lancée sur des codes d’application Web mal écrits ou si le développeur a activé l’inclusion de fichiers sur le serveur. L’attaque Remote File Inclusion est lancée en interférant avec les instructions ‘include’, ‘require’, ‘include_once’ et ‘require_once’. Dans les versions précédentes de PHP, les développeurs avaient le pouvoir d’activer ou de désactiver ‘allow_url_include’ pour activer les fonctions include, require include_once et require_once. Dans le script PHP 5.2.0 Vulnerable, allow_url_include est activé par défaut.

4. L’une des attaques les plus courantes est lancée sur les messages d’erreur par les applications Web. Les attaquants trompent ces applications pour recharger ou revenir avec des informations sensibles divulguées. Cette attaque est effectuée pour planifier l’attaque de piratage Web majeure.

5. Une autre attaque courante est effectuée sur le fichier php.ini où la plupart des paramètres de configuration Web sont stockés. Le script vulnérable est le suivant.

<?php

………
$incfile = $REQUEST[‘’file’’];include ($incfile.’’.php’’);
………

?>

5 techniques pour minimiser les vulnérabilités de sécurité Web

Pour éviter les attaques courantes sur PSites Web développés par HP et des pages Web par des pirates, voici quelques techniques simples pour rendre le Web plus sûr pour tous.

1. Restreindre l’accès étranger

La première étape pour restreindre l’accès étranger consiste à gérer séparément les fichiers de configuration, les fichiers de données et les pages de script. Le script suivant peut être utilisé sur le serveur Apache dans les fichiers httpd.conf.

<Files ~ ‘’\.inc$’’>

 Order allow, deny
  </Files>

2. Sélectionnez les codes de soumission de formulaire corrects

GET et POST sont les techniques de soumission de formulaire les plus courantes utilisées dans le codage PHP. La méthode GET est définie sur les paramètres par défaut. Si vous utilisez la méthode de soumission de formulaire GET, le pirate peut facilement interférer avec et manipuler la partie de chaîne de requête exposée dans l’URL. Il est fortement recommandé d’utiliser la méthode de soumission du formulaire GET sur des pages Web moins importantes sans informations sensibles uniquement. Sinon, les développeurs doivent choisir la méthode de soumission de formulaire HTTP POST pour une sécurité Web améliorée.

3. Configurez PHP.ini

Empêchez les attaques de piratage les plus courantes en configurant vos fichiers php.ini. PHP.ini est utilisé pour enregistrer Cookie, Server, GET et POST et peut être manipulé à l’aide de variables globales. Les différentes manières utilisées pour sécuriser les fichiers php.ini sont ici.

  • Masquez les fichiers de configuration et limitez leur accès.
  • Examinez les variables globales non initialisées en réajustant le rapport d’erreurs sur E All | E STRICT ou E ALL.
  • Activez safe_mode dans les configurations et ouvrez les restrictions de base-dir dans un répertoire de serveur.
  • Dans php.ini, définissez allow_url_fopen sur 0 pour le désactiver.

4. Données de programmation d’entrée sécurisées

La sécurité de la validation des entrées est la technique de défense contre les attaques par injection et les attaques par débordement de tampon. La syntaxe, la longueur et l’heure correctes des données de programmation sont utilisées pour examiner la première utilisation et valider numériquement le contenu de la chaîne. Le script suivant permet d’empêcher la saisie directe dans les instructions.

If(!ctype_alnum($_GET[‘login’])) {echo ‘’Only A-Za-z0-9 are allowed.’’;}

If(!ctype_alpha($_GET[‘captcha’])) {echo ‘’Only A-Za-z are allowed.’’;}
$If(!ctype_xdigit($_GET[‘color’])) {echo ‘’Only hexadecimal values are allowed.’’;}

Les variables de type Casting sont également utilisées dans la technique de Casting pour PHP afin de sécuriser la programmation des données d’entrée à partir de sources externes non contrôlées.

5. Empêcher la divulgation d’erreurs

Un plantage, une erreur ou tout autre événement pertinent peut divulguer des informations inutiles et, comme décrit précédemment, il peut être traduit ou trompé en divulgation d’informations sensibles par des pirates. Par défaut, PHP envoie des informations concernant les erreurs afin que l’utilisateur final puisse développer une réponse immédiate et corrective. En cas d’erreur ou de plantage, des informations telles que les mots de passe, les variables non initialisées et les chemins de fichiers peuvent également être révélées aux utilisateurs malveillants. Les paramètres de journalisation et les fonctions d’erreur peuvent être corrigés à l’aide du code suivant.

Ini_set("display_errors"),FALSE;

Ini_set("log_errors"),TRUE; .

For restricted control panels, use unique names instead of obvious names. Also, disallow the directory listings with the help of the following code.

  • For disabling PHP identification header

‘expose_php=off’

  • Pour désactiver l'en-tête d'identification Apache

‘ServerSignature=Off’

Conclusion:

Il est en effet sans aucun doute que vous ferez tout pour éviter que votre site Web ne plante malencontreusement ou toute erreur pouvant survenir et laisser échapper des informations importantes et confidentielles. Pour empêcher de telles attaques de logiciels malveillants, PHP envoie un rapport d'erreur à l'utilisateur afin qu'il puisse prendre des mesures opportunes contre de telles attaques et assurer la sécurité du site Web. De plus, dans de tels cas, vous devez toujours vous assurer d'interdire tout accès étranger à votre site Web et d'utiliser uniquement des noms uniques pour les noms d'utilisateur.

Avec l'aide des codes susmentionnés, vos sites Web et pages Web développés en PHP peuvent être facilement sécurisés. Les attaques de pirates ne divulguent pas seulement des informations sensibles, mais endommagent également le système, révèlent des fichiers confidentiels, entraînent une perte de services et ruinent la réputation de votre entreprise. Un codage plus sécurisé est essentiel pour prévenir ces pertes et se développer comme un développeur et ingénieur web professionnel.


blog pour le consultant seo maxime guinard 16

Post a Comment

Name

E-mail Address

Website