Deux familles de failles partagent la même racine : des portes ouvertes que personne ne surveille. D'un côté, les fichiers sensibles accessibles par HTTP — le .env qui contient vos mots de passe, le .git/HEAD qui révèle votre structure de code. De l'autre, les entrées utilisateur non filtrées — un champ de recherche qui accepte du SQL, un commentaire qui exécute du JavaScript. La solution est la même dans les deux cas : bloquer au niveau du serveur (Nginx return 444), valider au niveau de l'application (paramètres bindés, échappement HTML), et auditer en continu. Mitnick, votre agent sécurité, vérifie les deux à chaque cycle — fichiers exposés ET headers d'injection.
« L'art suprême de la guerre est de soumettre l'ennemi sans combattre. »
A retenir : Chaque entrée non contrôlée — fichier ou formulaire — est une invitation pour l'attaquant.
Questions & Answers
A question about this lesson? The AI replies automatically.
Your questions and the AI's answers are public and enrich the course for everyone. Your email is used only for authentication (legal basis: legitimate interest, retention: 3 years). Privacy policy.