Transformez votre navigateur en piège à pirate w. les en-têtes de sécurité HTTP (Dominique Righetto)
Voxxed Days Luxembourg 2022 Room: Tools-in-action Type: Conference Lorsque nous entendons parler de sécurité dans le monde du Web, nous entendons souvent parler de vulnérabilité affectant le côté serveur (injection SQL, contournement d'authentification ou des autorisations, etc.). Cependant, les pirates ciblent également les utilisateurs via des vulnérabilités déclenchées côté client (injection de code JavaScript, HTML, CSS, etc.) leur permettant d'effectuer des opérations en usurpant l’identité de l'utilisateur. Dans cette bataille nous ne sommes pas seul, nous avons un allié de poids sous la forme du navigateur lui-même, en effet, les navigateurs modernes offrent différentes capacités de sécurité permettant de rendre plus difficile l'exploitation de certaines vulnérabilités. Parmi elles, ils supportent une gamme d'en-têtes HTTP permettant de transformer le navigateur en cage, en y sellant le code malveillant. Cette session a pour objectif de vous présenter, avec l'aide du projet OWASP Secure Headers, une collection d'en-têtes HTTP que vous pouvez utiliser dans vos applications web pour rendre la vie des pirates significativement plus complexe.