Il faut garder à l’esprit que les vrais hackers trouvent chaque jour de nouvelles failles. Plusieurs règles doivent être respectées :
• Filtrer chaque donnée en entrée et en sortie
• Utiliser les fonctions d’échappement/assainissement avant d’effectuer une requête SQL et si possible travailler avec des “procédures stockées”.
• Travailler avec un système de “White List” au lieu de “Black List”
• Ne jamais rien exécuter avec les droits “root”
• Limiter les droits des applications et leurs accès uniquement à leurs propres répertoires
• Ne jamais laisser des fichiers de Backup accessibles
• Désactiver le Directory Listing
• Utiliser des noms de fichiers/dossiers non courants
• Chiffrer toutes les données sensibles (mot de passe, numéro de carte bancaire)
• Désactiver toutes les fonctions qui ne sont pas nécessaires au bon fonctionnement du site/application
• Lire la documentation complète de la configuration des serveurs Web, base de données utilisée afin de connaître les paramètres de sécurité
• Ne jamais afficher les messages d’erreurs
• Mettre à jour le plus souvent possible les outils utilisés (CMS, Serveur, OS, Langage)
• Ne jamais faire confiance aux utilisateurs
• Travailler autant que possible en connexion sécurisée
• Rajouter un système de “Jeton” pour chaque action
• Régénérer une nouvelle variable de session à chaque chargement de page
• Réaliser des audits de façon régulière.
