Les codeurs conquièrent la sécurité : série Share & Learn - Inclusion de fichiers locaux et traversée de chemins
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
