Comment protéger son site internet contre le Web Skimming ?

Réponses rédigées par Antoine
Dernière mise à jour : 2020-09-06 13:23:03
Thèmes : internet - securite - webmaster
Question

Suite à la question qui explique ce qu'est le Web Skimming ; comment peut-on protéger son site internet contre le Web Skimming ?

Réponse

Dans la très grande majorité des cas, lorsque la sécurité d'un site Web a été compromise, une partie de son code source a été altéré. Il existe de multiples techniques de Web Skimming, cependant une majorité d'entre elles consiste à injecter du code JavaScript.

Ainsi, l'installation d'un script de monitoring pour détecter les modifications du code source est une solution viable : soit vous installez un tel script sur votre serveur, soit vous faites appel à un web service ; voici quelques exemples :

  • https://monitorwebsitefilechanges.cloud/
  • https://github.com/seregazhuk/php-watcher
  • https://github.com/firewizard/theia-monitor

Vous pouvez également utiliser la plateforme SafeBrowsing de Google et suivre ses recommandations :

  • https://safebrowsing.google.com/
  • https://support.google.com/webmasters/topic/4596795?hl=fr&ref_topic=9428048

En revanche, et si vous faites appel à des librairies de codes qui ne sont pas hébergées sur votre serveur (CDN, API & co), et si ces codes externes ont été altérés, vous ne pourrez que très difficilement les auditer.

Pour cette raison, il est conseillé de ne faire appel à des ressources externes que de sources sures. Évitez ainsi les CDN peu connues.

Une autre solution, quelque peu radicale, est de ne pas utiliser de code JavaScript sur votre site, ou d'auditer le code pour effacer tout ajout de ce type :

Par exemple, vous pourriez utiliser une expression régulière pour effacer tout le contenu entre des balises <script> et </script> :

$code = preg_replace('/<script.+?<\/script>/im', "", $code);

Il est également possible de mettre en place des filtres et sécurités au niveau d'Apache via par exemple le fichier htaccess. Pour en savoir plus, effectuez une recherche sur les mots clés filtres XSS htaccess via Google.

Restez surtout vigilant, auditez le plus souvent votre code source, et gardez un œil attentif aux connexions réseaux établies lors du chargement de vos pages (touche F12 dans votre navigateur, onglet Réseau ou Network).