Donc il faut configurer le reverse proxy pour chaque application en prennant en compte toutes les variables remplies par l'utilisateur?
Oui.
Il y a alors autant de boulot que lorsque l'on fait ces controles directement au niveau du code de l'appli non?
Oui, mais il peut y avoir des aides intégrées dans le logiciel, en partant des logs par exemple. Mais de toute façon le plus important c'est que ce travail soit fait par des gens qui comprennent ce qu'est le web, à la différence des développeurs d'applications web.
D'autre part vous n'avez pas toujours le source de l'appli.
-- Nom d'un chat de nom d'un chat !
Djoume SALVETTI <salvetti@crans.org> wrote:
Donc il faut configurer le reverse proxy pour chaque application en
prennant en compte toutes les variables remplies par l'utilisateur?
Oui.
Il y a alors autant de boulot que lorsque l'on fait ces controles
directement au niveau du code de l'appli non?
Oui, mais il peut y avoir des aides intégrées dans le logiciel,
en partant des logs par exemple. Mais de toute façon le plus important
c'est que ce travail soit fait par des gens qui comprennent ce qu'est le
web, à la différence des développeurs d'applications web.
D'autre part vous n'avez pas toujours le source de l'appli.
Donc il faut configurer le reverse proxy pour chaque application en prennant en compte toutes les variables remplies par l'utilisateur?
Oui.
Il y a alors autant de boulot que lorsque l'on fait ces controles directement au niveau du code de l'appli non?
Oui, mais il peut y avoir des aides intégrées dans le logiciel, en partant des logs par exemple. Mais de toute façon le plus important c'est que ce travail soit fait par des gens qui comprennent ce qu'est le web, à la différence des développeurs d'applications web.
D'autre part vous n'avez pas toujours le source de l'appli.
-- Nom d'un chat de nom d'un chat !
Eric Razny
Patrice Auffret wrote:
Cela permet de filtrer les requêtes HTTP envoyées au serveur, et donc les paramètres, aux seules requêtes valides et prévenir les attaques Web classiques (SQL injection, XSS, directory traversal, code injection, etc.).
On peut également citer mod_security qui est construit spécifiquement pour se battre contre ces attaques: http://www.modsecurity.org/
Dans tous les cas de figures il faut penser à l'impact _potentiellement_ négatif que ça peut avoir sur la sécurité en cas de faille sur le proxy/module. (voir par exemple : http://www.modsecurity.org/documentation/security.html).
Pour ceux qui ont les moyens un filtrage sur une autre machine ce n'est pas plus mal ...
Eric -- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Patrice Auffret wrote:
Cela permet de filtrer les requêtes HTTP envoyées au serveur, et donc
les paramètres, aux seules requêtes valides et prévenir les attaques
Web classiques (SQL injection, XSS, directory traversal, code
injection, etc.).
On peut également citer mod_security qui est construit
spécifiquement pour se battre contre ces attaques:
http://www.modsecurity.org/
Dans tous les cas de figures il faut penser à l'impact _potentiellement_
négatif que ça peut avoir sur la sécurité en cas de faille sur le
proxy/module.
(voir par exemple : http://www.modsecurity.org/documentation/security.html).
Pour ceux qui ont les moyens un filtrage sur une autre machine ce n'est pas
plus mal ...
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Cela permet de filtrer les requêtes HTTP envoyées au serveur, et donc les paramètres, aux seules requêtes valides et prévenir les attaques Web classiques (SQL injection, XSS, directory traversal, code injection, etc.).
On peut également citer mod_security qui est construit spécifiquement pour se battre contre ces attaques: http://www.modsecurity.org/
Dans tous les cas de figures il faut penser à l'impact _potentiellement_ négatif que ça peut avoir sur la sécurité en cas de faille sur le proxy/module. (voir par exemple : http://www.modsecurity.org/documentation/security.html).
Pour ceux qui ont les moyens un filtrage sur une autre machine ce n'est pas plus mal ...
Eric -- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Michel Arboi
On Wed Jun 02 2004 at 10:31, Djoume SALVETTI wrote:
Donc il faut configurer le reverse proxy pour chaque application en prennant en compte toutes les variables remplies par l'utilisateur?
Il existe des reverse proxys censés être tout configurés ou automatiques, ça peut bloquer les attaques basiques.
Quelqu'un a essayé Pound ? http://www.apsis.ch/pound/
On Wed Jun 02 2004 at 10:31, Djoume SALVETTI wrote:
Donc il faut configurer le reverse proxy pour chaque application en
prennant en compte toutes les variables remplies par l'utilisateur?
Il existe des reverse proxys censés être tout configurés ou
automatiques, ça peut bloquer les attaques basiques.
Quelqu'un a essayé Pound ? http://www.apsis.ch/pound/
