Retour d’expérience : Audit de sécurité d'un site Drupal

Soumis par Laborouge le lun 14/01/2019 - 23:12
Présentateurs et présentatrices

Niveau
Débutant

Thème, sujet
Étude de cas, Retours d'expérience
Durée
40 minutes


Lors de la livraison en production d'un de nos sites Drupal, notre client nous a fait savoir son intention de réaliser un "audit de sécurité" sur notre travail ainsi que notre hébergement.

Cet audit, nous a permis de réaffirmer certaines bonnes pratiques dans notre chaines de développement et de mettre en place de nouvelles direction jusqu'alors peu exploitées.

Je présenterais point par point les problématiques soulevées ainsi que leur résolution :

  1. XSS Stored : exécution de code JavaScript
  2. Énumération des paiements
  3. Énumération des utilisateurs
  4. Fichiers inutiles au fonctionnement de la production
  5. Fuite d'information : fichier de template
  6. CSRF : déconnexion utilisateur
  7. En-tetes HTTP : Strict-Transport-Security
  8. En-têtes HTTP : Content-Security-Policy
  9. En-têtes HTTP : fuite d'information sur la version
  10. Multiples vulnérabilités : CKEditor
  11. Multiples vulnérabilités : PHPMailer