Sécuriser ses applications Web

Je viens de lire un article très intéressant sur le blog de Java.net, signé Eric Spiegelberg. Celui-ci porte sur la sécurisation des requêtes dans les applications Web. Son astuce vous permet que de petits malin ne requêtent pas n’importe quoi sur celles-ci.

Lorsqu’une requête
index.jsp?client_id=1824-67-04-F9%234%24&client_name=Big+Box+Company
Ne vaudrait il mieux pas la traduire par ?
index.jsp?enc=%3D%3FUTF-8%3FB%3FY2xpZW50X2lkPTE4MjQtNjctMDQtRjklMjM0JTI0%3F%3D&enc=%3D%3FUTF-8%3FB%3FY2xpZW50X25hbWU9QmlnK0JveCtDb21wYW55%3F%3D

Pourquoi ? Ne vous êtes vous jamais amusé à modifier un parametre de requetes SQL pour accéder à certaines données ? Il peut arrivé que vous combiniez des cas qui fonctionnelement ne peuvent exister (comme selectionner un T-Shirt et une taille qui n’existe pas pour ce produit alors que cette taille peut exister pour d’autres modeles). Certains cas ne sont pas toujours retester techniquement et peuvent mener à des failles de sécurité. En dissimulant les attributs, vous limiter la possibilité qu’un usager modifie votre requete HTTP.

Pour avoir les explications complétes, rendez vous sur cet article en Anglais.

  • Pierre

    Ou alors, on utilise Hibernate. Plus aucun soucis au niveau des requetes sql…!