Les tests d’intrusion applicatifs consistent \u00e0 trouver les failles d’une application web pour \u00e9viter que son application\u00a0 ou site web soit hack\u00e9s et que l’on perde \u00e0 minima la qualit\u00e9 de service, que des personnes acc\u00e8dent \u00e0 nos donn\u00e9es.<\/p>\n
Une premi\u00e8re d\u00e9marche consiste \u00e0 v\u00e9rifier que votre site internet est s\u00e9curis\u00e9 du point de vue du param\u00e9trage du serveur web.<\/p>\n
Ce site vous permettra d’avoir un rapport complet quand \u00e0 la s\u00e9curit\u00e9 globale de votre site, du point de vue configurations uniquement.<\/p>\n
https:\/\/observatory.mozilla.org<\/a><\/span><\/p>\n Enfin on insistera sur le param\u00e9trage du serveur web qui h\u00e9berge votre application, en instant sur le fait qu’il faut \u00eatre au niveau A+ pour se donner le maximum de chances d’\u00eatre dans la meilleure configuration possible.<\/p>\n Ce site web vous donnera votre indice de s\u00e9curit\u00e9 (les indices vont de A+ \u00e0 F).<\/p>\n https:\/\/securityheaders.com<\/span><\/a><\/p>\n Toutes les applications que je d\u00e9veloppe sont au niveau A+.<\/p>\n Les sites A+ ne repr\u00e9sentent que 3% de la totalit\u00e9 des sites.<\/strong><\/p>\n Si vous \u00eates niveau F, il est temps de faire quelques chose.<\/p>\n Installez \u00e0 minima le HTTPS avec un certificat de confiance, et param\u00e9trez votre serveur web pour obtenir A+.<\/p>\n Bien \u00e9videmment, dans certains cas, il n’est pas possible d’obtenir l’indice A+ et c’est volontaire car on souhaite par exemple inclure du contenu d’un autre site ou bien une API sp\u00e9cifique, ou encore faire du cross scripting avec une application tierce par exemple, ou bien d’autres cas.<\/em><\/p>\n Il y a tant de choses \u00e0 dire sur la s\u00e9curit\u00e9 du serveur web mais ce n’est pas l’objet de l’article.<\/p>\n Une premi\u00e8re chose consiste \u00e0 modifier le port SSH qui par d\u00e9faut est \u00e0 22. Ca ne co\u00fbte pas grand chose de le changer. En effet, la premi\u00e8re chose qu’un hacker fera c’est de tester que ce port est ouvert pour prendre possession de votre machine et de faire ce qu’il souhaite.<\/p>\n Une seconde \u00e9tape si votre serveur est sous Unis, ce qui je pense est le cas, c’est d’installer\u00a0Fail2ban et le configurer.<\/p>\n Fail2ban est un framework de pr\u00e9vention contre les intrusions dont le but est de bloquer les adresses IP inconnues qui tentent de p\u00e9n\u00e9trer dans votre syst\u00e8me. Ce paquet est recommand\u00e9, voire indispensable, pour vous pr\u00e9munir contre toute tentative de brute force sur vos services.<\/em><\/p>\n Une troisi\u00e8me \u00e9tape consiste \u00e0 vous connecter \u00e0 votre h\u00e9bergeur et de configurer les ports comme suit:<\/p>\n 1 Autoriser TCP tous 1922 established Activ\u00e9 Ca vous permettra d’avoir d’ouvert que les ports n\u00e9cessaires.<\/p>\n Vous pouvez v\u00e9rifier la liste de vos ports ouverts ici avec l’outil de TCP port scan:<\/p>\nEtape 2: s\u00e9curiser son h\u00e9bergement web<\/h2>\n
\n2 Autoriser TCP tous 80 established Activ\u00e9
\n3 Autoriser TCP tous 443 established Activ\u00e9
\n4 Autoriser UDP tous 10000 Activ\u00e9
\n5 Autoriser ICMP tous Activ\u00e9
\n19 Autoriser IPv4 tous<\/p>\n