Développeur FullStack & Devops

Une partie des attaques web peuvent être bloquées en utilisant des mécanismes implémentés dans les navigateurs et activés du coté des serveurs web, reverse proxy (Nginx) ou certains CDNs (4 Liens

En-têtes HTTP de sécurité

La sécurité est assurée par l’ajout d’en-têtes HTTP de sécurité dont :

  • Feature Policy : permet de contrôler certaines features et API du navigateur comme la geoloc, microphone, camera etc.

Se faire aider des scanners pour vérifier ses headers.

Implémentations

Nginx

mémo.

Dotnet Core

l’ajout des en-têtes de sécurité se fait simplement grâce aux middlewares via context.Response.Headers.Add( ) comme nous le montre cet article de c-sharpcorner.

Nodejs/Express

Le middleware CSP).

Scanner son site

Linux

Nous avons à disposition pas mal d’outil de scan sous Linux :

Web scanners

Plusieurs WebApps nous permettent de scanner notre site pour y détecter les en-têtes de sécurité manquants comme :

Liens

rédigé par behrouze le 16/11/2019
Cheat SheetsOutilsVidéosA propos