Sécuriser ses applications Web
Eric Vialle | Lundi 26 mai 2008 | 8:58
Je viens de lire un article très intéressant sur le blog de Java.net, signé Eric Spiegelberg. Celui-ci porte sur la sécurisation des requêtes dans les applications Web. Son astuce vous permet que de petits malin ne requêtent pas n’importe quoi sur celles-ci.
Lorsqu’une requête
index.jsp?client_id=1824-67-04-F9%234%24&client_name=Big+Box+Company
Ne vaudrait il mieux pas la traduire par ?
index.jsp?enc=%3D%3FUTF-8%3FB%3FY2xpZW50X2lkPTE4MjQtNjctMDQtRjklMjM0JTI0%3F%3D&enc=%3D%3FUTF-8%3FB%3FY2xpZW50X25hbWU9QmlnK0JveCtDb21wYW55%3F%3D
Pourquoi ? Ne vous êtes vous jamais amusé à modifier un parametre de requetes SQL pour accéder à certaines données ? Il peut arrivé que vous combiniez des cas qui fonctionnelement ne peuvent exister (comme selectionner un T-Shirt et une taille qui n’existe pas pour ce produit alors que cette taille peut exister pour d’autres modeles). Certains cas ne sont pas toujours retester techniquement et peuvent mener à des failles de sécurité. En dissimulant les attributs, vous limiter la possibilité qu’un usager modifie votre requete HTTP.
Pour avoir les explications complétes, rendez vous sur cet article en Anglais.
Ou alors, on utilise Hibernate. Plus aucun soucis au niveau des requetes sql…!