WO2017056121A1 - Procédé pour l'identification et la prévention d'attaques web côté client - Google Patents

Abstract

La présente invention s'applique au domaine de la « détection d'attaque de sécurité d'application Web » et concerne les aspects de détection d'attaques d'un client Web, utilisant des techniques sur site pour l'analyse de l'entrée et des flux vulnérables résultants. Afin de surveiller des cyberattaques sur une application Web, un WAF est généralement placé sur une des couches côté serveur. Leur conception spécifique dépend fortement de la possibilité d'accès au contenu lui-même d'une demande envoyée par les clients sur le réseau, qui est analysé dans le but de déterminer s'il contient des données valables ou s'il contient des motifs malveillants. L'une des faiblesses de ce système est liée à la nécessité d'analyser la partie de la demande qui contient l'attaque. De nos jours, la plupart des attaques côté client peuvent être effectuées sans envoyer réellement de données au serveur ; c'est-à-dire que les données ne passent pas par le réseau mais restent sur le client. Cette situation crée évidemment un trou fonctionnel, qui empêche un WAF d'identifier une vaste catégorie d'attaques de client. Ce document présente une solution qui peut être aussi utilisée conjointement avec un WAF ou un système équivalent, précisément pour résoudre cette limitation, et pour offrir une meilleure exhaustivité des systèmes d'identification et de prévention de cyberattaques. Le procédé selon l'invention corrèle des données en recueillant des entrées potentiellement exploitables avec des données d'appel d'exécution de récepteur. Cette corrélation permet d'obtenir un taux de précision élevé suite à la minimisation de la quantité de faux positifs. Enfin, grâce à la conception spéciale de la solution, le point vulnérable dans le code est identifié avec grande précision, ce qui permet une analyse plus facile de la résolution logicielle de ladite vulnérabilité.