Sécurité Web et Applications

Vulnérabilités web courantes (OWASP Top 10)

1. Injections SQL

Les injections SQL permettent à un attaquant d'exécuter des commandes SQL malveillantes.

// Code vulnérable
$query = "SELECT * FROM users WHERE id = " . $_GET["id"];

// Code sécurisé (préparé)
$stmt = $conn->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $_GET["id"]);

2. Cross-Site Scripting (XSS)

Injection de scripts malveillants dans des pages web.

// Protection contre XSS
$safe_input = htmlspecialchars($user_input, ENT_QUOTES, "UTF-8");

3. Cross-Site Request Forgery (CSRF)

Forcer un utilisateur à exécuter des actions non désirées.

Bonnes pratiques de développement sécurisé

• Valider et assainir toutes les entrées utilisateur
• Utiliser des requêtes préparées (PDO/MySQLi)
• Implémenter un CSP (Content Security Policy)
• Hacher les mots de passe (bcrypt, argon2)
• Configurer les en-têtes HTTP de sécurité
• Effectuer des tests de pénétration réguliers

Outils de sécurité web

• Burp Suite (tests d'intrusion)
• OWASP ZAP (scan de vulnérabilités)
• WPScan (WordPress)
• Nmap (découverte réseau)