On ne doit jamais faire confiance aux données provenant d'un client : tout peut arriver.

Surtout ce que l'on n'a pas prévu.

Un programme est sécurisé s'il se comporte exactement comme il a été conçu pour le faire.

• Difficile de définir le comportement voulu pour un système complexe.
• Impossible à formaliser
• Très dur de vérifier/analyser le comportement du logiciel.

• Risque = Probabilité d'un Evenement x Perte Maximale

• Whitelist les schemes (http, https, ftp)
• Hostname: caractères alphanumérique, ".", "-"
• Peut être suivi de "/", "?", "#", end-of-string

• Toujours spécifier Content-Type et charset
• body: entity-encode < > &
• Paramètres des tags "style" et "on*": à éviter (multiples niveaux d'échappement)
• Autres valeurs de params HTML: entourer avec ” et entity-encode < > & ” ’
• ! metacaractères Unicode

• Feuilles de style: en local / servies par HTTPS
• Si paramètres insérés dans du CSS: entourer avec ”. Echapper les caractères (0x00-0x1F), \, < > {, }, ” ’
• text body: entity-encode < > &
• Paramètres des tags "style": à éviter (multiples niveaux d'échappement)
• CSS fourni par l'utilisateur: vérifications spécifiques

• Fichiers de script: en local / servis par HTTPS
• Bannir eval(), innerHTML(), outerHTML(), setTimeout() avec des params utilisateurs.
• Pour parser du JSON: utiliser JSON.parse() plutôt que eval().
• Si paramètres insérés dans un block JS: échapper les caractères (0x00-0x1F), \, < > {, }, ” ’
• Pour construire dynamiquement du HTML: utiliser innerText(), createElement(), createTextNode().

• Header HTTP: Content-Security-Policy
• Content-Security-Policy: default-src *; script-src 'self'; object-src 'none'; style-src 'self' 'unsafe-inline'

• https://github.com/mozilla/scanjs

      query = "SELECT * FROM students WHERE 
                 name ='" + userName + "' AND age = 10;"
      userName = "Robert'; DROP TABLE students;--" 
      

      
      "SELECT * FROM students WHERE 
         name ='Robert'; DROP TABLE students;"
      

• Filtrer les données en entrées/sortie de grande taille
• Stopper les processus trop consommateurs en temps/ressources

quand on me demande si j'ai lancé les tests

• Penser comme un attaquant
• Tester des données malveillantes en entrée et les comportements inattendus

• Chiffrer les données utilisateurs sensibles.
• Changer le mot de passe par défaut des serveurs d'applications, des comptes admin
• Ne PAS stocker des données sensibles en clair (ex: mots de passe)
• Réduire les risques de bruteforcing

• XSS, CSRF, authentification, gestion de session...
• MDN: Securité web
• OWASP Top Ten: owasp.org
• Secure Coding Guidelines for Web Apps

• Chiffrer les communications pour garantir l'intégrité des données (TLS/SSL)
• Configurer TLS sur son serveur

• MDN: https://developer.mozilla.org
• OWASP: https://www.owasp.org
• Slides: http://github.com/arroway
• IRC: arroway