AccueilđŸ‡«đŸ‡·Chercher

Web application firewall

Un Web Application Firewall (WAF) est un type de pare-feu qui protĂšge le serveur d'applications Web dans le backend contre diverses attaques. Le WAF garantit que la sĂ©curitĂ© du serveur Web n'est pas compromise en examinant les paquets de requĂȘte HTTP / HTTPS et les modĂšles de trafic Web.

Web Application Firewall Architecture

DĂ©finition

Un Web Application Firewall (WAF) est un type de pare-feu qui vĂ©rifie les donnĂ©es des paquets afin de protĂ©ger la couche application du modĂšle OSI[1] - [2] - [3]. Dans l'architecture globale du systĂšme (serveur web), un WAF est placĂ© avant l'application Web qui doit ĂȘtre protĂ©gĂ©e. Chaque demande envoyĂ©e est d'abord examinĂ©e par le WAF avant qu'elle n'atteigne l'application Web[2]. Si cette demande est conforme Ă  l'ensemble de rĂšgles du pare-feu, ce dernier peut alors transmettre la demande Ă  l'application[4]. D'une maniĂšre gĂ©nĂ©rale, un WAF peut ĂȘtre dĂ©fini comme une politique de sĂ©curitĂ© mise en place entre une application web et l'utilisateur final[5].

Les fonctionnalitĂ©s qu'il apporte peuvent ĂȘtre implĂ©mentĂ©es en software ou en hardware. En software, cela se rĂ©sume souvent Ă  une application installĂ©e sur un systĂšme d'exploitation tandis qu'en hardware, ces fonctionnalitĂ©s sont intĂ©grĂ©es dans une solution d'appliance[6]. La principale tĂąche d'un WAF est donc de protĂ©ger les programmes web sans les modifier[6].

Les caractéristiques du WAF

Habituellement, le choix d'un WAF devrait ĂȘtre utilisĂ© pour les caractĂ©ristiques attendues, les performances et les environnements[7].

Liste des caractéristiques du WAF :

  • Prendre en charge les normes connues des principales menaces et de gĂ©rer les menaces telles que OWASP Top 10 et PCI DSS
  • VĂ©rifier l'entrĂ©e et la sortie des applications Web en fonction de la dĂ©finition des rĂšgles de sĂ©curitĂ© et la mise en Ɠuvre des opĂ©rations appropriĂ©es telles que bloquer, autoriser, alerter et consigner les enregistrements, conformĂ©ment Ă  la pratique acceptĂ©e
  • ArrĂȘter et rĂ©vĂ©ler des informations importantes (prĂ©vention des fuites de donnĂ©es)
  • PossibilitĂ© de vĂ©rifier l'application web de sortie et de rĂ©ponse Ă  travers la dĂ©finition des politiques et rĂšgles de sĂ©curitĂ© et l'implĂ©mentation appropriĂ©e comme bloquer, autoriser, alerter, masquer
    • Mise en Ɠuvre de politiques de sĂ©curitĂ© Ă  travers des modĂšles positifs ou nĂ©gatifs. Dans le modĂšle positif (liste blanche) en dĂ©finissant des opĂ©rations acceptables, un comportement autorisĂ©, une plage valide d'entrĂ©e de donnĂ©es acceptable spĂ©cifiĂ©e et uniquement cette opĂ©ration est autorisĂ©e et toute autre opĂ©ration diagnostiquĂ©e comme illĂ©gale, elle empĂȘchera les actions de se produire. Dans le modĂšle nĂ©gatif (liste noire), une liste de tous les actes non autorisĂ©s est spĂ©cifiĂ©e et toutes les opĂ©rations avant de comparer l'implĂ©mentation avec cette liste et seulement si les opĂ©rations ne correspondent pas, il sera possible de l'implĂ©menter
  • VĂ©rifier le contenu des pages Web telles que HTML, HTML dynamique, CSS ainsi que des pages Web de protocoles de transfert tels que HTTP, HTTPS, TLS;
  • VĂ©rifier tout protocole ou quelle construction de donnĂ©es utilise pour transfĂ©rer des donnĂ©es vers une application Web ou recevoir des donnĂ©es de celle-ci
  • PrĂ©venir les attaques et les accĂšs non autorisĂ©s
  • Prendre en charge la terminaison SSL / TLS ou la prise en charge de la possibilitĂ© de localisation dans une route de trafic chiffrĂ© de maniĂšre Ă  pouvoir dĂ©chiffrer le trafic avant de le recevoir dans le programme d'application Web. Le trafic chiffrĂ© n'est pris en compte par WAF que si l'opĂ©ration de terminaison SSL est effectuĂ©e avant d'atteindre le trafic vers l'application Web
  • EmpĂȘcher ou dĂ©tecter la falsification de jetons de session, par exemple en chiffrant des cookies de session, des champs de formulaire masquĂ©s ou en utilisant d'autres mĂ©thodes pouvant ĂȘtre utilisĂ©es par ceux qui suivent la session
  • PossibilitĂ© de recevoir de nouvelles mises Ă  jour et de demander une signature dynamique et une manuelle
  • Avoir la possibilitĂ© d'Ă©chouer ouvert (par exemple, dans le cas de WAF dĂ©sactivĂ© en raison d'un problĂšme matĂ©riel, vĂ©rifier que tout le trafic entrant et sortant autorisĂ© Ă  ĂȘtre transfĂ©rĂ© sans passer le WAF) ou les supports Ă©chouent fermer (en cas de panne WAF due Ă  un problĂšme matĂ©riel, tout trafic d'entrĂ©e et de sortie, n'est pas autorisĂ© Ă  ĂȘtre transfĂ©rĂ© Ă  partir du WAF);
  • Prendre en charge du certificat client SSL et de l'authentification du client proxy via un certificat si l'application Web utilise le certificat SSL Client pour identifier les utilisateurs. En cas de non-prise en charge de cette fonctionnalitĂ© par WAF, l'application web situĂ©e Ă  l'arriĂšre de WAF sera difficile. De nombreux WAF modernes ont la possibilitĂ© d'utiliser LDAP ou d'autres services similaires[7].

Les menaces liées aux applications web

Les serveurs Web sont la source d'information et l'endroit oĂč les informations sont stockĂ©es. Ces serveurs Web fournissent au client, sur demande, des donnĂ©es telles que des pages Web, des images, des vidĂ©os et d'autres types de donnĂ©es. En raison du rĂŽle important jouĂ© par un serveur, il fait l'objet d'attaques malveillantes perpĂ©trĂ©es par des parties et/ou des entitĂ©s hostiles. Les objectifs habituels de ces attaques vont de la perturbation de la fonction et de la disponibilitĂ© du serveur Web Ă  l'accĂšs non autorisĂ© au contenu Web hĂ©bergĂ©[8].

Injection SQL

L'injection SQL est l'une des vulnĂ©rabilitĂ©s les plus dĂ©vastatrices qui affecte les systĂšmes de gestion de bases de donnĂ©es car elle peut conduire Ă  l'exposition de toutes les informations sensibles stockĂ©es dans la base de donnĂ©es d'une application[9]. Toutes les requĂȘtes SQL peuvent ĂȘtre utilisĂ©es efficacement pour exploiter la logique d'application Web pour accĂ©der Ă  la base de donnĂ©es. L'injection SQL est la plupart du temps le rĂ©sultat de validations d'entrĂ©es insuffisantes. Ce type d'attaque est gĂ©nĂ©ralement injectĂ©e via des zones de texte qui transmettent des donnĂ©es Ă  l'application Web via des requĂȘtes Web ou parfois en utilisant des URL[10].

Tautologie ou Injection d'Ă©valuation vraie

L'attaque de tautologie est souvent utilisĂ©e en raison de sa simplicitĂ©. Le but de l'attaque basĂ©e sur la tautologie est principalement de contourner la certification, d'extraire les donnĂ©es ou de dĂ©couvrir une vulnĂ©rabilitĂ© peut ĂȘtre injectĂ©[11].

Exemple :

SELECT * FROM member WHERE field='$1'

Si le code ne contrÎle pas la valeur $1 saisie, un utilisateur mal intentionné peut passer comme valeur ' OR 1=1 ;-- qui cause l'exécution du code suivant :

SELECT * FROM member WHERE field='' OR 1=1 ;--

Dans la requĂȘte ci-dessus, 1 = 1 sera toujours vrai. Si l'application ne valide pas la saisie de l'utilisateur correctement, tous les enregistrements de la base de donnĂ©es seront rĂ©cupĂ©rĂ©es par cette requĂȘte[12].

RequĂȘtes illĂ©gales ou logiquement incorrectes

Dans ce type d'attaque, l'attaquant injecte des dĂ©clarations dans le but de provoquer une erreur de syntaxe ou une erreur logique. Ces erreurs peuvent rĂ©vĂ©ler des informations prĂ©cieuses sur le type et la structure du backend de la base de donnĂ©es de l'application web. Et aidera l'attaquant Ă  identifier les paramĂštres injectables. Les erreurs de syntaxe peuvent ĂȘtre utilisĂ©es pour dĂ©duire les types de donnĂ©es de certaines colonnes ou extraire des donnĂ©es. Les erreurs logiques disent souvent Ă  l'attaquant le nom des tables et colonnes dans la base de donnĂ©es[11].

Exemple[12] :

SELECT name FROM accounts WHERE member_password='/1'

RequĂȘtes Piggy-Backed

Dans ce type d'attaques, l'attaquant ajoute une requĂȘte supplĂ©mentaire Ă  la requĂȘte originale[12].

Exemple :

SELECT * FROM members WHERE member_username='admin' and member_password='admin'; DROP TABLE users --

RequĂȘte UNION

Cette attaque utilise l'opĂ©rateur de l'union qui est effectuĂ© permet lier deux ou plusieurs requĂȘtes[12].

Exemple :

SELECT * FROM members WHERE member_username='user123' UNION SELECT * FROM members WHERE member_username='admin' -- AND member_password=’’

Alternation de l'encodage

Dans cette technique, les attaquants modifient la requĂȘte d'injection en utilisant codage alternatif[12]. Cette attaque modifie le texte injectĂ© sans changer le but de la commande mĂ©chante. La mĂ©thode la plus utilisĂ©e de codage de la chaĂźne d'attaque sont hexadĂ©cimaux, ASCII et Unicode Encodage de caractĂšre[11].

Exemple :

SELECT * FROM members WHERE member_user='user' AND
member_password='user';EXEC(CHAR(0x7368757466J77e))

Cross-site scripting (XSS)

Dans les attaques XSS, l'attaquant tente d'injecter un script cĂŽtĂ© client sur le serveur distant. XSS attaque gĂ©nĂ©ralement le code HTML de la page Web en cours de chargement. ActiveX, JavaScript peut ĂȘtre affectĂ© par cette attaque. XSS peut rĂ©vĂ©ler des informations sur les cookies. Les scripts peuvent ĂȘtre hĂ©bergĂ©s quelque part par l'attaquant. L'attaquant fournit un lien vers les utilisateurs qui semble authentique, mais a un code de script malveillant. Une fois que l'utilisateur atteint le script de liaison exĂ©cutĂ© sur la machine du client[13], l'attaquant peut obtenir des informations vitales[10] - [14] - [15].

XSS non persistant

Dans ce type d'attaque, le script d'attaque est conservé ailleurs que sur le serveur de base de données de l'application Web. Ces scripts malveillants sont mis à la disposition des utilisateurs de telle sorte que l'utilisateur semble légitime. Une fois ce script touché, le pirate peut accéder aux informations de l'utilisateur[10] - [16].

XSS persistant

Comme son nom l'indique, une attaque XSS persistante stocke le script ambigu sur des pĂ©riphĂ©riques secondaires d'application Web, tels qu'une base de donnĂ©es d'application Web Ă  trois niveaux[3]. Ce type d'attaque est possible lorsque l'application web permet Ă  l'utilisateur de stocker des informations telles que des commentaires, des sections de blog, etc. qui sont Ă©galement visibles par les autres utilisateurs. Le dĂ©tournement de session peut ĂȘtre effectuĂ© en utilisant XSS persistant[10].

La protection des WAFs face aux menaces liées aux applications web

Les WAFs constituent un mĂ©canisme indispensable conçu pour empĂȘcher certains types d'attaques, tels que l'injection SQL ou le script XSS. Une fois dĂ©ployĂ©, un WAF examine chaque demande soumise Ă  un systĂšme cible pour dĂ©cider si elle est lĂ©gitime ou malveillante[17]. Le WAF prend une dĂ©cision en effectuant un contrĂŽle d'accĂšs en temps rĂ©el en se basant sur les informations telles que les URL, les paramĂštres envoyĂ©s ainsi que l'historique de session de l'utilisateur[2] et en vĂ©rifiant si la valeur correspond ou non Ă  un modĂšle d'attaque, en utilisant typiquement un ensemble de rĂšgles (par exemple, des expressions rĂ©guliĂšres)[17] - [18].

Le WAF peut utiliser soit une liste blanche (un modĂšle de sĂ©curitĂ© positif) ou soit une liste noire (un modĂšle de sĂ©curitĂ© nĂ©gatif) pour prendre ces dĂ©cisions. Dans le modĂšle de sĂ©curitĂ© positif, le contrĂŽle d'accĂšs est basĂ© sur des comportements positifs connus. Ces comportements peuvent ĂȘtre construits manuellement par l'administrateur ou bien produit automatiquement en observant un trafic rĂ©seau lĂ©gitime. Le modĂšle de sĂ©curitĂ© nĂ©gatif permet quant Ă  lui de rejeter les requĂȘtes reflĂ©tant un trafic dangereux[2].

Le WAF est donc une méthode pour se protéger de ces genres d'attaques[18].

Exemple de WAF : Modsecurity

Modsecurity[19] est un pare-feu d'application Web (WAF) open source multiplate-forme développé par l'équipe SpiderLabs de Trustwave.

Sur le site Internet de Modsecirity, Trustwave annonce la fin du support à compté du premier juillet 2024[20] et ce afin de laisser la communauté poursuivre le projet[21].

Il dispose d'un langage de programmation basé sur les événements robuste qui offre une protection contre toute une série d'attaques contre les applications Web et permet la surveillance du trafic HTTP, l'enregistrement et l'analyse en temps réel. Ses principales fonctionnalités sont le filtrage simple, le filtrage basé sur les expressions réguliÚres, la validation de l'encodage d'URL, la validation de l'encodage Unicode, l'audit, la prévention des attaques d'un octet nul, les limites de mémoire d'upload et le masquage d'identité du serveur[1]. Il est aussi disponible pour les serveurs Microsoft IIS et Nginx.

Il dĂ©tecte les attaques en se basant sur un fichier de configuration dans lequel il y a les rĂšgles. En surveillant les requĂȘtes entrantes et sortantes, il est capable de stopper le trafic malicieux suivant ces rĂšgles. Et tous les dĂ©tails de ce dernier sont enregistrĂ©s dans un fichier de log. Il peut Ă©galement envoyer un message d'alerte Ă  l'administrateur[18].

Voici certaines fonctions de configuration de ModSecurity[22] :

  • SecFilterScanPost ON pour rĂ©cupĂ©rer le payload des requĂȘtes;
  • SecFilterCheckURLEncoding ON permet de vĂ©rifier l'encodage URL des requĂȘtes;
  • SecAuditEngine ON enregistre toutes les requĂȘtes HTTP dans un fichier de logs;
  • SecAuditLog pour indiquer la localisation du fichier de logs;
  • SecFilterScanPOST autorise l'analyse des requĂȘtes POST;
  • SecFilterDefaultAction "deny, log, status:403" rejette toutes les commandes invalides avec un statut 403;
  • SecFilter "/bin/bash" interdit toutes requĂȘtes contenant "/bin/bash".

Protection contre les SQLi (Injections SQL)

Les WAFs protĂšgent la base de donnĂ©es de l'application en inspectant le trafic HTTP et en appliquant un ensemble de rĂšgles de sĂ©curitĂ©. Le langage utilisĂ© pour exprimer les rĂšgles de sĂ©curitĂ© peut explicitement dĂ©crire une signature d'une attaque par injection SQL, ou implicitement dĂ©crire la façon de dĂ©tecter ces attaques. Il peut Ă©galement exprimer une valeur de score d'anomalie qui augmente chaque fois qu'un motif malveillant apparaĂźt dans une requĂȘte HTTP. Si la valeur de l'anomalie atteint un seuil prĂ©dĂ©fini, la demande sera rejetĂ©e[9].

Les limites

Le WAF peut protĂ©ger contre les attaques assez gĂ©nĂ©rales, mais il ne peut pas prĂ©munir contre les requĂȘtes entrantes ciblant un bug spĂ©cifique dans l’implĂ©mentation de l'application web[23]. Il faut bien connaĂźtre les services fournis par l'application web que le WAF doit protĂ©ger afin de configurer le pare-feu au mieux[18]. Des technologies telles que AJAX (pour crĂ©er des pages dynamiques) requiĂšrent d'adapter le WAF en consĂ©quence car par dĂ©faut, ils peuvent ĂȘtre bloquĂ©s par le WAF[24].

Références
  1. Razzaq 2013, p. 2
  2. Desmet 2006, p. 68
  3. Rama 2016, p. 2
  4. Appelt 2015, p. 2
  5. DĂ©finition simpliste d'un WAFGhanbari 2015, p. 809
  6. Ghanbari 2015, p. 809
  7. Ghanbari 2015, p. 809
  8. Endraca 2013, p. 2
  9. Makiou 2014, p. 35
  10. Sonewar 2015, p. 1
  11. Linghuan 2016, p. 650
  12. Naga 2012, p. 610
  13. Pandurang 2015, p. 414
  14. Nguyen-Tuong 2005, p. 299
  15. Rama 2016, p. 1
  16. Rama 2016, p. 2
  17. Appelt 2015, p. 1
  18. Rama 2016, p. 3
  19. Site officiel(en) « Mod Security »
  20. (en) « ModSecurity », sur www.modsecurity.org (consulté le )
  21. (en-US) « End of Sale and Trustwave Support for ModSecurity Web Application Firewall », sur Trustwave (consulté le )
  22. Razzaq 2013, p. 3-4
  23. Desmet 2006, p. 67
  24. Ghanbari 2015, p. 811

Bibliographie

Articles

Document utilisĂ© pour la rĂ©daction de l’article : document utilisĂ© comme source pour la rĂ©daction de cet article.

  • (en) Alexander Endraca, Bryan King, George Nodalo, Maricone Sta. Maria et Issac H. Sabas, « Web Application Firewall (WAF) », International Journal of e-Education, e-Business, e-Management and e-Learning, vol. 3,‎ , p. 277 (DOI 10.7763/IJEEEE.2013.V3.277). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Abdelhamid Makiou, Youcef Begriche et Ahmed Serhrouchni, « Improving Web Application Firewalls to detect advanced SQL injection attacks », Information Assurance and Security (IAS), 2014 10th International Conference on,‎ , p. 35-40 (ISBN 978-1-4799-8100-7, DOI 10.1109/ISIAS.2014.7064617). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Abdul Razzaq, Ali Hur et Sidra Shahbaz, « Critical analysis on web application firewall solutions », Autonomous Decentralized Systems (ISADS), 2013 IEEE Eleventh International Symposium on,‎ , p. 1-6 (ISBN 978-1-4673-5069-3, DOI 10.1109/ISADS.2013.6513431). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Z. Ghanbari, Y. Rahmani et H. Ghaffarian, « Comparative approach to web application firewalls », Knowledge-Based Engineering and Innovation (KBEI), 2015 2nd International Conference on,‎ , p. 808 - 812 (ISBN 978-1-4673-6505-5, DOI 10.1109/KBEI.2015.7436148). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Dennis Appelt, Cu D. Nguyen et Lionel Briand, « Behind an Application Firewall, Are We Safe from SQL Injection Attacks? », Software Testing, Verification and Validation (ICST), 2015 IEEE 8th International Conference on,‎ , p. 1 - 10 (ISBN 978-1-4799-7125-1, DOI 10.1109/ICST.2015.7102581). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Adem Tekerek, Cemal Gemci et Omer Faruk Bay, « Development of a hybrid web application firewall to prevent web based attacks », Application of Information and Communication Technologies (AICT), 2014 IEEE 8th International Conference on,‎ , p. 1 - 4 (ISBN 978-1-4799-4118-6, DOI 10.1109/ICAICT.2014.7035910)
  • (en) Lieven Desmet, Frank Piessens, Wouter Joosen et Pierre Verbaeten, « Bridging the gap between web application firewalls and web applications », ACM,‎ , p. 67-77 (ISBN 1-59593-550-9, DOI 10.1145/1180337.1180344). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) R. Kumar, « Analysis of key critical requirements for enhancing security of web applications », Computers, Communications, and Systems (ICCCS), International Conference on 2-3 Nov 2015,‎ , p. 241-245 (ISBN 978-1-4673-9757-5, DOI 10.1109/CCOMS.2015.7562908)
    Department of Computer Science, Jamia Millia Islamia (Central University) Jamia Nagar, New Delhi-110025
  • (en) Carmen Torrano-Gimenez, Hai Thanh Nguyen, Gonzalo Alvarez, Slobodan Petrovic et Katrin Franke, « Applying feature selection to payload-based Web Application Firewalls », Security and Communication Networks (IWSCN), 2011 Third International Workshop on, Gjovik, NorvĂšge, 18-20 mai 2011,‎ , p. 1- 7 (ISBN 978-1-4577-1307-1, DOI 10.1109/IWSCN.2011.6827720)
  • (en) Ali Ahmad, Zahid Anwar, Ali Hur et Hafiz Farooq Ahmad, « Formal reasoning of web application Firewall rules through ontological modeling », Multitopic Conference (INMIC), 2012 15th International, Islamabad, Pakistan, 13-15 Dec 2012,‎ , p. 1-8 (ISBN 978-1-4673-2252-2, DOI 10.1109/INMIC.2012.6511505)
    School of Electrical Engineering and Computer Science National University of Sciences and Technology, Islamabad, Pakistan.
  • (en) Feng Fangmei, Changgeng Shao et Dan Liu, « Design and Implementation of Coldfusion-Based Web Application Firewall », Computer Science & Service System (CSSS), 2012 International Conference on, Nanjing, Chine, 11-13 AoĂ»t 2012,‎ , p. 659-662 (ISBN 978-0-7695-4719-0, DOI 10.1109/CSSS.2012.170)
  • (en) Tammo Krueger, Christian Gehl, Konrad Rieck et Pavel Laskov, « TokDoc: a self-healing web application firewall », Proceedings of the 2010 ACM Symposium on Applied Computing,‎ , p. 1846-1853 (ISBN 978-1-60558-639-7, DOI 10.1145/1774088.1774480)
    ACM New York, NY, USA ©2010
  • (en) N. Jovanovic, C. Kruegel et E. Kirda, « Pixy: a static analysis tool for detecting Web application vulnerabilities », Security and Privacy, 2006 IEEE Symposium on,‎ , p. 1-6 (ISBN 0-7695-2574-1, ISSN 2375-1207, DOI 10.1109/SP.2006.29)
  • (en) Metin Sahin et Ibrahim Sogukpınar, « An efficient firewall for web applications (EFWA) », Computer Science and Engineering (UBMK), 2017 International Conference on, Antalya, Turquie, 5-8 octobre 2017,‎ , p. 1150-1155 (ISBN 978-1-5386-0931-6, DOI 10.1109/UBMK.2017.8093398)
  • (en) M. Ozhiganova, A. Kostyukov et M. Maslova, « Functional model of firewall application layer protection for WEB-Based information systems », Industrial Engineering, Applications and Manufacturing (ICIEAM), 2017 International Conference on, Saint Petersburg, Russie, 16-19 mai 2017,‎ , p. 1-5 (ISBN 978-1-5090-5649-1, DOI 10.1109/ICIEAM.2017.8076446)
  • (en) RenĂ© Rietz, Hartmut König, Steffen Ullrich et Benjamin Stritter, « Firewalls for the Web 2.0 », Software Quality, Reliability and Security (QRS), 2016 IEEE International Conference on,‎ , p. 242-253 (ISBN 978-1-5090-4127-5, DOI 10.1109/QRS.2016.36)
  • (en) Dariusz PaƂka et Marek Zachara, « Learning Web Application Firewall - Benefits and Caveats », IFIP WG 8.4/8.9 International Cross Domain Conference and Workshop on Availability, Reliability and Security, vol. 6908,‎ , p. 295-308 (ISBN 978-3-642-23299-2, DOI https://doi.org/10.1007/978-3-642-23300-5_23)
  • (en) Stefan Prandl, Mihai Lazarescu et Duc-Son Pham, « A Study of Web Application Firewall Solutions », International Conference on Information Systems Security, vol. 9478,‎ , p. 501-510 (ISBN 978-3-319-26960-3, DOI https://doi.org/10.1007/978-3-319-26961-0_29)
  • (en) G. Rama Koteswara Rao, R. Satya Prasad et M. Ramesh, « Neutralizing Cross-Site Scripting Attacks Using Open Source Technologies », Proceedings of the Second International Conference on Information and Communication Technology for Competitive Strategies,‎ , p. 1-6 (ISBN 978-1-4503-3962-9, DOI 10.1145/2905055.2905230). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Adam Barth, Collin Jackson et John C. Mitchell, « Robust defenses for cross-site request forgery », Proceedings of the 15th ACM conference on Computer and communications security,‎ , p. 75-87 (ISBN 978-1-59593-810-7, DOI 10.1145/1455770.1455782)
  • (en) James Walden, « Integrating web application security into the IT curriculum », Proceedings of the 9th ACM SIGITE conference on Information technology education,‎ , p. 187-192 (ISBN 978-1-60558-329-7, DOI 10.1145/1414558.1414607)
  • (en) Yakkala V. Naga Manikanta et Anjali Sardana, « Protecting web applications from SQL injection attacks by using framework and database firewall », Proceedings of the International Conference on Advances in Computing, Communications and Informatics,‎ , p. 609-613 (ISBN 978-1-4503-1196-0, DOI 10.1145/2345396.2345495). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Ossama B. Al-Khurafi et Mohammad A. Al-Ahmad, « Survey of Web Application Vulnerability Attacks », 2015 4th International Conference on Advanced Computer Science Applications and Technologies (ACSAT),‎ , p. 154-158 (ISBN 978-1-5090-0424-9, DOI 10.1109/ACSAT.2015.46)
  • (en) Gajanan P. Bherde et M. A. Pund, « Recent attack prevention techniques in web service applications », 2016 International Conference on Automatic Control and Dynamic Optimization Techniques (ICACDOT),‎ , p. 1174-1180 (ISBN 978-1-5090-2080-5, DOI 10.1109/ICACDOT.2016.7877771)
  • (en) P. Srivani, S. Ramachandram et R. Sridevi, « A survey on client side and server side approaches to secure web applications », 2017 International conference of Electronics, Communication and Aerospace Technology (ICECA),‎ , p. 22-27 (ISBN 978-1-5090-5686-6, DOI 10.1109/ICECA.2017.8203685)
  • (en) Dennis Appelt, Annibale Panichella et Lionel Briand, « Automatically Repairing Web Application Firewalls Based on Successful SQL Injection Attacks », 2017 IEEE 28th International Symposium on Software Reliability Engineering (ISSRE),‎ , p. 339-350 (ISBN 978-1-5386-0941-5, DOI 10.1109/ISSRE.2017.28)
  • (en) « Web-application attacks: A survey », (consultĂ© le )
  • (en) Truong Son Pham, Tuan Hao Hoang et Van Canh Vu, « Machine learning techniques for web intrusion detection — A comparison », 2016 Eighth International Conference on Knowledge and Systems Engineering (KSE),‎ , p. 291-297 (ISBN 978-1-4673-8929-7, DOI 10.1109/KSE.2016.7758069)
  • (en) Dimitris Mitropoulos, Panagiotis Louridas, Michalis Polychronakis et Angelos D. Keromytis, « Defending Against Web Application Attacks: Approaches, Challenges and Implications », IEEE Transactions on Dependable and Secure Computing,‎ , p. 1-14 (DOI 10.1109/TDSC.2017.2665620)
  • (en) Hsiu-Chuan Huang, Zhi-Kai Zhang, Hao-Wen Cheng et Shiuhpyng Winston Shieh, « Web Application Security: Threats, Countermeasures, and Pitfalls », Computer (Volume: 50, Issue: 6),‎ , p. 81-85 (DOI 10.1109/MC.2017.183)
  • (en) D. Sophia Navis Mary et A. Thasleema Begum, « An Algorithm for Moderating DoS Attack in Web Based Application », 2017 International Conference on Technical Advancements in Computers and Communications (ICTACC),‎ , p. 26-31 (ISBN 978-1-5090-4797-0, DOI 10.1109/ICTACC.2017.17)
  • (en) Sadeeq Jan, Cu D. Nguyen, Andrea Arcuri et Lionel Briand, « A Search-Based Testing Approach for XML Injection Vulnerabilities in Web Applications », 2017 IEEE International Conference on Software Testing, Verification and Validation (ICST),‎ , p. 356-366 (DOI 10.1109/ICST.2017.39)
  • (en) Arianit Maraj, Ermir Rogova, Genc Jakupi et Xheladin Grajqevci, « Testing techniques and analysis of SQL injection attacks », 2017 2nd International Conference on Knowledge Engineering and Applications (ICKEA),‎ , p. 55-59 (DOI 10.1109/ICKEA.2017.8169902)
  • (en) Piyush A. Sonewar et Sonali D. Thosar, « Detection of SQL injection and XSS attacks in three tier web applications », 2016 International Conference on Computing Communication Control and automation (ICCUBEA),‎ , p. 1-4 (ISBN 978-1-5090-3291-4, DOI 10.1109/ICCUBEA.2016.7860069). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) M. Ridwan Zalbina, Tri Wanda Septian, Deris Stiawan, Moh. Yazid Idris, Ahmad Heryanto et Rahmat Budiarto, « Payload recognition and detection of Cross Site Scripting attack », 2017 2nd International Conference on Anti-Cyber Crimes (ICACC),‎ , p. 1-5 (ISBN 978-1-5090-5814-3, DOI 10.1109/Anti-Cybercrime.2017.7905285)
  • (en) K. Vijayalakshmi et A. Anny Leema, « Extenuating web vulnerability with a detection and protection mechanism for a secure web access », 2017 Fourth International Conference on Signal Processing, Communication and Networking (ICSCN),‎ , p. 1-4 (ISBN 978-1-5090-4740-6, DOI 10.1109/ICSCN.2017.8085652)
  • (en) Syed Mishal Murtaza et Asif Sohail Abid, « Automated white-list learning technique for detection of malicious attack on web application », 2016 13th International Bhurban Conference on Applied Sciences and Technology (IBCAST),‎ , p. 416-420 (ISBN 978-1-4673-9127-6, DOI 10.1109/IBCAST.2016.7429912)
  • (en) Linghuan Xiao, Shinichi Matsumoto, Tomohisa Ishikawa et Kouichi Sakurai, « SQL Injection Attack Detection Method Using Expectation Criterion », 2016 Fourth International Symposium on Computing and Networking (CANDAR),‎ , p. 649-654 (ISBN 978-1-4673-9127-6, DOI 10.1109/CANDAR.2016.0116). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Amith Pramod, Agneev Ghosh, Amal Mohan, Mohit Shrivastava et Rajashree Shettar, « SQLI detection system for a safer web application », 2015 IEEE International Advance Computing Conference (IACC),‎ , p. 237-240 (ISBN 978-1-4799-8047-5, DOI 10.1109/IADCC.2015.7154705)
  • (en) Ankit Shrivastava, Santosh Choudhary et Ashish Kumar, « XSS vulnerability assessment and prevention in web application », 2016 2nd International Conference on Next Generation Computing Technologies (NGCT),‎ , p. 850-853 (ISBN 978-1-5090-3257-0, DOI 10.1109/NGCT.2016.7877529)
  • (en) Raja Prasad Karuparthi et Bing Zhou, « Enhanced Approach to Detection of SQL Injection Attack », 2016 2nd International Conference on Next Generation Computing Technologies (NGCT),‎ , p. 466-469 (ISBN 978-1-5090-6167-9, DOI 10.1109/ICMLA.2016.0082)
  • (en) Piyush A. Sonewar et Nalini A. Mhetre, « A novel approach for detection of SQL injection and cross site scripting attacks », 2015 International Conference on Pervasive Computing (ICPC),‎ , p. 1-4 (ISBN 978-1-4799-6272-3, DOI 10.1109/PERVASIVE.2015.7087131)
  • (en) Rathod Mahesh Pandurang et Deepak C. Karia, « A mapping-based podel for preventing Cross site scripting and sql injection attacks on web application and its impact analysis », 2015 1st International Conference on Next Generation Computing Technologies (NGCT),‎ , p. 414-418 (ISBN 978-1-4673-6809-4, DOI 10.1109/NGCT.2015.7375152). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Stephen W. Boyd et Angelos D. Keromytis, « SQLrand: Preventing SQL Injection Attacks », Second International Conference, ACNS 2004,‎ , p. 292-302 (ISBN 978-3-540-22217-0, DOI 10.1007/978-3-540-68914-0)
  • (en) Tadeusz Pietraszek1 et Chris Vanden Berghe, « Defending Against Injection Attacks Through Context-Sensitive String Evaluation », 8th International Symposium, RAID 2005,‎ , p. 124-145 (ISBN 978-3-540-31778-4, DOI 10.1007/11663812)
  • (en) William G.J. Halfond et Alessandro Orso, « AMNESIA: analysis and monitoring for NEutralizing SQL-injection attacks », 20th IEEE/ACM international Conference on Automated software engineering,‎ , p. 174-183 (ISBN 1-58113-993-4, DOI 10.1145/1101908.1101935)
  • (en) Yao-Wen Huang, Fang Yu, Christian Hang, Chung-Hung Tsai, D. T. Lee et Sy-Yen Kuo, « Securing web application code by static analysis and runtime protection », WWW04 Proceedings of the 13th international conference on World Wide Web,‎ , p. 40-52 (DOI 10.1145/988672.988679)
  • (en) Anh Nguyen-Tuong, Salvatore Guarnieri, Doug Greene, Jeff Shirley et David Evans, « AUTOMATICALLY HARDENING WEB APPLICATIONS USING PRECISE TAINTING », IFIP TC11 20th International Information Security Conference,‎ , p. 295-307 (ISBN 978-0-387-25658-0, DOI 10.1007/b135818). Ouvrage utilisĂ© pour la rĂ©daction de l'article
  • (en) Moosa Asaad et Alsaffar Eanas Muhsen, « Proposing a hybrid-intelligent framework to secure e-government web applications », ICEGOV '08 Proceedings of the 2nd international conference on Theory and practice of electronic governance,‎ , p. 52-59 (ISBN 978-1-60558-386-0, DOI 10.1145/1509096.1509109)
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.