Безопасность приложений

Безопасность приложения ( англ. Application Security ) включает в себя меры, принимаемые для повышения безопасности приложения, часто путем обнаружения, исправления и предотвращения уязвимостей в безопасности. Для выявления уязвимостей на разных этапах жизненного цикла приложений, таких как проектирование, разработка, развертывание, обновление, обслуживание, используются различные методы. В основном в программах наблюдается рост количества разного рода дефектов и уязвимостей, которые со временем могут нанести существенный вред программному обеспечению.

Термины

  • Актив. Ценный ресурс, например: данные в базе данных, деньги на счете, файл в файловой системе или любой системный ресурс.
  • Уязвимость. «Слабое место» в программе, которое может быть использовано угрозами для получения несанкционированного доступа к активу.
  • Атака . Действие, предпринятое для нанесения вреда активу.
  • Угроза. Все, что может использовать уязвимости для получения доступа, повреждения или уничтожения актива.

Методы

Различные методы позволяют находить различные классы уязвимостей безопасности в приложении и наиболее эффективны на определенных этапах жизненного цикла программного обеспечения.

  • Whitebox («белый ящик»), или проверка кода. Инженер по безопасности, глубоко разбирающийся в приложении, просматривает исходный код вручную и ищет недостатки безопасности. Благодаря пониманию принципа работы приложения могут быть найдены уникальные уязвимости для данного программного обеспечения.
  • Проверка безопасности Blackbox («черный ящик»). Проверка на наличие уязвимостей только посредством использования приложения, исходный код не требуется.
  • Пересмотр дизайна. Перед написанием кода, с помощью моделирования угроз.
  • Автоматизированная проверка. Существует множество автоматизированных инструментов, которые проверяют недостатки безопасности, часто с более высоким уровнем ложноположительных результатов, чем при участии человека.
  • Bug Bounty. Это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение уязвимостей.

Правильное использование этих методов для обеспечения максимальной безопасности в течение всего жизненного цикла разработки программного обеспечения является задачей команды, занимающейся вопросами безопасности.

Угрозы приложениям (атаки)

В соответствии с шаблонами и опытом, описываемыми в книге «Improving Web Application Security», ниже приведены классы распространенных угроз / атак безопасности приложений:

Категория Угрозы / Атаки
Проверка Ввода Переполнение буфера; межсайтовый скриптинг; внедрение SQL-кода; стандартизация (канонизация)
Фальсификация программного обеспечения Злоумышленник изменяет поведение приложения для выполнения несанкционированных действий, путем бинарного исправления, замены кода или его расширения
Аутентификация Прослушивание сети; атака «грубой силой»; перебор по словарю; воспроизведение файлов cookie; кража учетных данных
Авторизация Повышение привилегий; раскрытие конфиденциальных данных; подделка данных
Управление конфигурацией Несанкционированный доступ к интерфейсам администрирования; несанкционированный доступ к файлам настроек; поиск текстовых данных конфигурации; чрезмерно привилегированные процессы и службы
Конфиденциальная информация Доступ к чувствительному коду или данным в хранилище; подслушивание сети; внедрение вредоносного кода / данных
Управление сеансом Похищение сеанса; атака повторного воспроизведения; атака «человек посередине»
Криптография Генерация не криптографически стойких ключей или плохое управление ключами; слабое или нестандартное шифрование
Манипуляция параметрами Манипулирование строкой запроса, полем формы; манипуляции с файлами cookie; манипулирование заголовком HTTP
Управление исключениями Раскрытие информации; отказ в обслуживании (DoS)
Аудит и вход в систему Пользователь запрещает выполнение операции; злоумышленник использует приложение без следа; злоумышленник скрывает свои следы

Сообщество OWASP опубликовало список 10 самых уязвимых мест веб-приложений и описывает лучшие методы обеспечения безопасности для организаций, стремясь создать открытые стандарты для отрасли.[1] Основные угрозы безопасности приложений по состоянию на 2017 год:[2]

Категория Угрозы / Атаки
Внедрение Внедрение SQL-кода; NoSQL; внедрение команд ОС; объектно-реляционное отображение (ORM); LDAP injection
Взлом аутентификации Атаки с использованием учетных данных (утечки / взломы баз данных); атака «грубой силой»; слабый пароль
Воздействие на чувствительные данные Слабая криптография; отсутствие шифрования
Внешний объект XML Атака внешнего объекта XML
Взлом контроля доступа Неправильная конфигурация CORS; принудительный просмотр; повышение привилегий
Неправильная настройка безопасности Неисправленные недостатки; невозможность установить значения параметров безопасности в настройках; устаревшее или уязвимое программное обеспечение
Межсайтовый скриптинг (XSS) Отражённые (Непостоянные); Хранимые (Постоянные); DOM-модели
Небезопасная десериализация Изменение объектов и структур данных; подделка данных
Использование компонентов с известными уязвимостями Устаревшее программное обеспечение; не обнаруженные уязвимости; неспособность исправить базовые фреймворки
Недостаточное логирование и мониторинг Неспособность зарегистрировать проверяемые события; невозможность генерировать понятные сообщения журнала: неуместные предупреждения; неспособность обнаружить или предупредить об активных атаках в режиме реального времени

Защита мобильных приложений

Основная статья: Технологии защиты телефонных переговоров

Ожидается, что в будущем доля мобильных устройств, предоставляющих функциональные возможности открытой платформы, будет продолжать расти. Открытость этих платформ дает значительные возможности для всех частей мобильной экосистемы, благодаря возможности гибкого предоставления программ и услуг - опций, которые могут быть установлены, удалены или обновленные множество раз согласно потребностям и требованиям пользователя. Однако с открытостью появляется и неограниченный доступ к мобильным ресурсам и API-интерфейсам приложениями неизвестного или ненадежного происхождения, что может привести к причинению вреда пользователю, устройству, сети или всего вместе взятого, если не используются соответствующие архитектуры безопасности и сетевые меры предосторожности. Безопасность приложения обеспечивается в той или иной форме на большинстве мобильных устройств с открытой ОС (Symbian OS,[3] Microsoft, BREW, и т.д.). В 2017 году Google расширил свою программу вознаграждений за найденные уязвимости, чтобы охватить уязвимости, обнаруженные в приложениях, разработанных третьими лицами и доступных через Google Play Store.[4] Промышленные группы также разработали рекомендации, включая Ассоциацию GSM и Open Mobile Terminal Platform (OMTP).[5]

Существует несколько стратегий повышения безопасности мобильных приложений:

  • Составление «белого списка» приложений
  • Обеспечение безопасности транспортного уровня
  • Строгая аутентификация и авторизация
  • Шифрование данных при записи в память
  • Песочница приложений
  • Предоставление доступа приложениям на уровне API
  • Привязка процессов к идентификатору пользователя
  • Предопределение взаимодействия между мобильным приложением и ОС
  • Требование подтверждения пользователя для предоставления привилегированного / повышенного доступа приложению
  • Правильная обработка сеанса

Тестирование безопасности приложений

Методы тестирования безопасности выявляют уязвимости или дыры в безопасности приложений. Эти уязвимости оставляют приложения открытыми для эксплойта. В идеале тестирование безопасности должно осуществляться на протяжении всего жизненного цикла разработки программного обеспечения, чтобы уязвимости можно было своевременно и тщательно устранять. К сожалению, тестирование часто проводится в конце цикла разработки. С ростом популярности DevOps и Continuous delivery (непрерывная доставка) как моделей разработки и развертывания программного обеспечения,[6] модели непрерывного обеспечения безопасности становятся все более популярными.[7]

Сканеры уязвимостей и, более конкретно, сканеры веб-приложений, также известные как инструменты тестирования на проникновение (например, инструменты этичного хакера), исторически использовались организациями и консультантами по безопасности для автоматизации тестирования безопасности запросов / ответов HTTP; тем не менее, это не заменяет необходимость фактической проверки исходного кода. Проверка исходного кода приложения может выполняться вручную или в автоматическом режиме. Учитывая общий размер отдельных программ (часто 500 000 строк кода или более), человек не может выполнить всесторонний анализ данных, необходимый для полной проверки всех возможных уязвимостей вручную. Для этого используются автоматизированные инструменты анализа исходного кода с последующей фильтрацией и анализом результатов.

Существует много разновидностей автоматизированных инструментов для выявления уязвимостей в приложениях. Некоторые из них требуют большого опыта проведения экспертизы безопасности, а другие предназначены для полностью автоматизированного использования. Результаты зависят от типов информации (исходные файлы, двоичные файлы, трафик HTTP, конфигурации, библиотеки, соединения), предоставленных анализатору, качества анализа и охваченных уязвимостей. Общие технологии, используемые для выявления уязвимостей приложений, включают в себя:

Статическое тестирование безопасности приложений (SAST) - это технология, которая часто используется в качестве инструмента анализа исходного кода. Метод анализирует исходный код на наличие уязвимостей перед запуском приложения. Этот метод дает меньше ложноположительных результатов, но для большинства реализаций требуются доступ к исходному коду приложения[8], экспертная конфигурация и большие вычислительные мощности.

Динамическое тестирование безопасности приложений (DAST) - это технология, которая способна находить видимые уязвимости путем подачи URL-адреса в автоматический сканер. Этот метод легко масштабируется, легко интегрируется и быстр. Недостатки DAST заключаются в необходимости экспертной конфигурации и высокой вероятности ложного срабатывания.[8]

Интерактивное тестирование безопасности приложений (IAST) - это решение, которое оценивает приложения изнутри, используя программные средства. Этот метод позволяет IAST использовать преимущества SAST и DAST, а также предоставляет доступ к коду, HTTP-трафику, информации о библиотеках, внутренних соединениях и информации о конфигурации.[9] Некоторые продукты IAST требуют, чтобы приложение подвергалось атаке, в то время как другие могут использоваться во время обычного тестирования качества.[10][11]

Обеспечение безопасности приложений

Развитие вредоносных программ, направленных на кибер-атаку клиентов компаний, ведущих свою коммерческую деятельность в сети Интернет, послужило стимулом к изменению требований к веб-приложениям, начиная с 2007 года. Предполагается, что значительное количество пользователей Интернета скомпрометированы вредоносным ПО и поэтому любые данные, отправленные с заражённых машин, могут быть вредоносными. В связи с этим, внедряется больше продвинутых систем защиты информации и блокировки атак именно на бекенде, чем на клиентской стороне, либо веб-сервере.[12] По состоянию на 2016 год, широкое применение находили технологии самозащиты ПО.[8][13] RASP внедряется совместно со средой выполнения, либо вживляется в неё, что позволяет обнаруживать и предотвращать хакерские атаки.[14][15]

Скоординированное обнаружение уязвимостей

Координационный центр CERT описывает скоординированное раскрытие уязвимостей - CVD (англ. Coordinated Vulnerability Disclosure) как «процесс уменьшения преимущества противника при уменьшении уязвимости информационной безопасности»..[16] CVD - это итеративный многоэтапный процесс, в котором участвуют несколько заинтересованных сторон (пользователи, поставщики программного обеспечения, специалисты по безопасности), которые должны работать вместе для устранения уязвимостей. Поскольку в процессах CVD участвуют несколько заинтересованных сторон, управление коммуникацией и устранение уязвимостей имеют решающее значение для успеха.

С эксплуатационной точки зрения многие инструменты и процессы могут помочь в CVD. К ним относятся системы отслеживания ошибок и программы Bug Bounty.

Стандарты и требования безопасности

  • Стандарт написания кода CERT
  • CWE[17]
  • Техническое руководство по безопасности (STIG)
  • ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security -- Part 1: Overview and concepts
  • ISO/IEC TR 24772:2013 Information technology — Programming languages — Guidance to avoiding vulnerabilities in programming languages through language selection and use
  • NIST Special Publication 800-53
  • OWASP
  • Стандарт безопасности данных индустрии платежных карт PCI DSS

См. также

Ссылки

  1. What is OWASP, and Why it Matters for AppSec. Contrast Security (23 февраля 2017). Дата обращения: 10 апреля 2018. Архивировано 11 апреля 2018 года.
  2. OWASP Top 10 - 2017. OWASP (2017). Дата обращения: 10 апреля 2018. Архивировано 26 июля 2018 года.
  3. "Platform Security Concepts" Архивная копия от 23 декабря 2017 на Wayback Machine, Simon Higginson.
  4. Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play. The Verge (22 октября 2017). Дата обращения: 15 июня 2018. Архивировано 15 августа 2018 года.
  5. Application Security Framework. Архивировано из оригинала 29 марта 2009 года., Open Mobile Terminal Platform
  6. DevOps Survey Results: Why Enterprises Are Embracing Continuous Delivery=01 December 2017. cloud bees. Дата обращения: 26 июня 2018. Архивировано 22 декабря 2018 года.
  7. Tapping Hackers for Continuous Security=31 March 2017. HackerOne. Дата обращения: 4 июля 2018. Архивировано 4 июля 2018 года.
  8. 1 2 3 Interactive Application Security Testing : Things to Know. TATA Cyber Security Community (9 июня 2016). Дата обращения: 20 декабря 2018. Архивировано из оригинала 20 июня 2018 года.
  9. Williams, Jeff I Understand SAST and DAST But What is an IAST and Why Does it Matter? Contrast Security (2 июля 2015). Дата обращения: 10 апреля 2018. Архивировано 11 апреля 2018 года.
  10. Abezgauz, Irene Introduction to Interactive Application Security Testing. Quotium (17 февраля 2014). Дата обращения: 20 декабря 2018. Архивировано 3 апреля 2018 года.
  11. Rohr, Matthias IAST: A New Approach For Agile Security Testing. Secodis (26 ноября 2015). Дата обращения: 20 декабря 2018. Архивировано 20 июня 2018 года.
  12. Continuing Business with Malware Infected Customers. Gunter Ollmann (октябрь 2008). Дата обращения: 20 декабря 2018. Архивировано 4 апреля 2016 года.
  13. What is IAST? Interactive Application Security Testing. Veracode. Дата обращения: 20 декабря 2018. Архивировано 26 января 2018 года.
  14. IT Glossary: Runtime Application Self-Protection. Gartner. Дата обращения: 20 декабря 2018. Архивировано 6 марта 2018 года.
  15. Feiman, Joseph Security Think Tank: RASP - A Must-Have Security Technology. Computer Weekly (июнь 2012). Дата обращения: 20 декабря 2018. Архивировано 26 января 2018 года.
  16. The CERT Guide to Coordinated Vulnerability Disclosure. Software Engineering Institute, Carnegie Mellon University (август 2017). Дата обращения: 20 июня 2018. Архивировано 13 февраля 2019 года.
  17. Common Weakness Enumeration (CWE). Дата обращения: 19 декабря 2018. Архивировано 10 мая 2016 года.

Read other articles:

Afraflacilla risbeci

Artikel ini sebatang kara, artinya tidak ada artikel lain yang memiliki pranala balik ke halaman ini.Bantulah menambah pranala ke artikel ini dari artikel yang berhubungan atau coba peralatan pencari pranala.Tag ini diberikan pada Oktober 2016. Afraflacilla risbeci Klasifikasi ilmiah Kerajaan: Animalia Filum: Arthropoda Kelas: Arachnida Ordo: Araneae Famili: Salticidae Genus: Afraflacilla Spesies: Afraflacilla risbeci Nama binomial Afraflacilla risbeciBerland & Millot, 1941 Afraflacilla r...

 

بير لاشاز (مترو باريس)

بير لاشازPère Lachaise (بالفرنسية) معلومات عامةالتقسيم الإداري الدائرة الحادية عشرة في باريس[1] — الدائرة العشرون في باريس البلد  فرنسا[1] شبكة المواصلات مترو باريس المالك الهيئة المستقلة للنقل في باريس الإدارة الهيئة المستقلة للنقل في باريس الخطوط الخط 2 لمترو باريس�...

 

Museo del Risorgimento e della Resistenza (Ferrara)

Museo del Risorgimento e della Resistenza UbicazioneStato Italia LocalitàFerrara IndirizzoCorso Ercole I d'Este, 19 e Corso Ercole I d'este 19, 44121 Ferrara Coordinate44°50′30.3″N 11°37′15.6″E / 44.84175°N 11.621°E44.84175; 11.621Coordinate: 44°50′30.3″N 11°37′15.6″E / 44.84175°N 11.621°E44.84175; 11.621 CaratteristicheTipostorico-militare Periodo storico collezionidal Risorgimento alla Resistenza italiana Apertura1903 DirettoreAn...

Vitaliy Rahimov

Azerbaijani wrestler (born 1984) Vitaliy Rahimov Medal record Men's Greco-Roman wrestling Representing  Azerbaijan World Championships 2009 Herning 60 kg 2010 Moscow 66 kg European Championships 2005 Varna 60 kg 2011 Dortmund 66 kg Vitaliy Medzhidovich Rahimov (Russian: Вита́лий Меджи́дович Раги́мов born 27 August 1984, Meghri, Armenian SSR) is an Azerbaijani athlete. Rahimov moved with his family to Azerbaijan in 1990. He has been trained in Greco-Roman wrestl...

 

5 cm FlaK 41

5 cm FlaK 41 Jenis Meriam antipesawat Negara asal Jerman Nazi Sejarah pemakaian Masa penggunaan 1941–1945 Digunakan oleh  Nazi Germany Pada perang Perang Dunia II Sejarah produksi Tahun 1936 Produsen Rheinmetall-Borsig Diproduksi 1940 Jumlah produksi 60 [1] Varian rangka pembawa dua poros dan dudukan tetap Spesifikasi (Flak 41 on trailer[2]) Berat 4.300 kg (9.500 pon) Panjang 605 cm (19 ft 10 in) Panjang laras 434&...

 

Alex Pinardi

Alex Pinardi Pinardi in azione con la maglia del Vicenza Nazionalità  Italia Altezza 180 cm Peso 72 kg Calcio Ruolo Allenatore (ex centrocampista) Termine carriera 2019 Carriera Giovanili 1991-1998 Atalanta Squadre di club1 1998-2004 Atalanta100 (16)[1]2004-2006 Lecce57 (6)2006-2010 Modena111 (26)2010-2011 Cagliari7 (0)2011-2012 Novara21 (1)[2]2012-2013 Vicenza33 (5)[3]2013→  Cremonese8 (1)2013-2016 Feralpisalò81 (...

Азиатский барсук

Азиатский барсук Научная классификация Домен:ЭукариотыЦарство:ЖивотныеПодцарство:ЭуметазоиБез ранга:Двусторонне-симметричныеБез ранга:ВторичноротыеТип:ХордовыеПодтип:ПозвоночныеИнфратип:ЧелюстноротыеНадкласс:ЧетвероногиеКлада:АмниотыКлада:СинапсидыКласс:Мле�...

 

2016年美國總統選舉

2016年美國總統選舉 ← 2012 2016年11月8日 2020 → 538個選舉人團席位獲勝需270票民意調查投票率55.7%[1][2] ▲ 0.8 %   获提名人 唐納·川普 希拉莉·克林頓 政党 共和黨 民主党 家鄉州 紐約州 紐約州 竞选搭档 迈克·彭斯 蒂姆·凱恩 选举人票 304[3][4][註 1] 227[5] 胜出州/省 30 + 緬-2 20 + DC 民選得票 62,984,828[6] 65,853,514[6]...

 

Amit Kumar (academic)

Indian computer scientist and academic (born 1976) For other uses, see Amit Kumar (disambiguation). This article uses bare URLs, which are uninformative and vulnerable to link rot. Please consider converting them to full citations to ensure the article remains verifiable and maintains a consistent citation style. Several templates and tools are available to assist in formatting, such as reFill (documentation) and Citation bot (documentation). (September 2022) (Learn how and when to remove thi...

Genetic history of Africa

Not to be confused with Genetic history of the African diaspora. Population structure of African populations in a broad context. ADMIXTURE analysis of 2,194 individuals from 81 populations for 16,420 SNPs reveals both well-established and novel ancestry components in African populations. The genetic history of Africa summarizes the genetic makeup and population history of African populations in Africa, composed of the overall genetic history, including the regional genetic histories of North...

 

中華民國國軍中的中共間諜列表

 本表是動態列表,或許永遠不會完結。歡迎您參考可靠來源來查漏補缺。 潛伏於中華民國國軍中的中共間諜列表收錄根據公開資料來源,曾潛伏於中華民國國軍、被中國共產黨聲稱或承認,或者遭中華民國政府調查審判,為中華人民共和國和中國人民解放軍進行間諜行為的人物。以下列表以現今可查知時間為準,正確的間諜活動或洩漏機密時間可能早於或晚於以下所歸�...

 

Coronado Apartments

United States historic placeCoronado ApartmentsU.S. National Register of Historic PlacesU.S. Historic districtContributing propertyMichigan State Historic Site Location3751-73 Second AvenueDetroit, MichiganCoordinates42°20′49″N 83°3′52″W / 42.34694°N 83.06444°W / 42.34694; -83.06444Built1894ArchitectWilliam S. JoyArchitectural styleRomanesque RevivalPart ofWillis-Selden Historic District (ID97001478)NRHP reference No.82002897[1]Signi...

West Midlands (Regional) League

Association football league in England Football leagueWest Midlands (Regional) LeagueFounded1889CountryEnglandDivisionsDivision OneDivision TwoNumber of teams30Level on pyramidLevel 11 (Division One)Level 12 (Division Two)Feeder toMidland League Division OneRelegation toShropshire County LeagueHerefordshire Football LeagueDomestic cup(s)Division One League CupDivision Two League CupCurrent championsAllscott Heath (2022–23) The West Midlands (Regional) League is an English association footba...

 

Pata, Sulu

Peta menunjukkan lokasi Pata Pata adalah munisipalitas yang terletak di provinsi Sulu, Filipina. Pada tahun 2010, munisipalitas ini memiliki populasi sebesar 20.095 jiwa dan 3.349 rumah tangga. Pembagian wilayah Secara administratif Pata terbagi menjadi 14 barangay, yaitu: Andalan Daungdong Kamawi Kanjarang Kayawan (Pob.) Kiput Likud Luuk-tulay Niog-niog Patian Pisak-pisak Saimbangon Sangkap Timuddas Pranala luar Philippine Standard Geographic Code Diarsipkan 2012-04-13 di Wayback Machine. 19...

 

List of U.S. cities with significant Korean American populations

U.S. cities with significant Korean-American populationsKorean signs in Koreatown, Manhattan in 2013 Cities with significant Korean American populations represent municipalities with critical masses of Korean Americans in their total urban or suburban populations. Information is based on the 2005-2009 American Community Survey or as specified in each table. The list includes those who have emigrated from South Korea as well as Korean Americans of multiple generations. There are numbers of No...

Circular permutation in proteins

Arrangement of amino acid sequence Schematic representation of a circular permutation in two proteins. The first protein (outer circle) has the sequence a-b-c. After the permutation the second protein (inner circle) has the sequence c-a-b. The letters N and C indicate the location of the amino- and carboxy-termini of the protein sequences and how their positions change relative to each other. A circular permutation is a relationship between proteins whereby the proteins have a changed order o...

 

Torneo Godó 1982

Torneo Godó 1982Sport Tennis Data4 ottobre – 10 ottobre Edizione30a SuperficieTerra rossa CampioniSingolare Mats Wilander Doppio Anders Järryd / Hans Simonsson 1981 1983 Il Torneo Godó 1982 è stato un torneo di tennis giocato sulla terra rossa. È stata la 30ª edizione del Torneo Godó, che fa parte del Volvo Grand Prix 1982. Si è giocato al Real Club de Tenis Barcelona di Barcellona in Spagna, dal 4 al 10 ottobre 1982. Indice 1 Campioni 1.1 Singolare 1.2 Doppio 2 Collegamenti esterni...

 

Highway H15 (Ukraine)

Highway in Ukraine Highway H15Автошлях Н15Route informationLength208.8 km (129.7 mi)Major junctionsWest end M 18 in ZaporizhzhiaEast end H 20 in Donetsk LocationCountryUkraineOblastsZaporizhzhia, Dnipropetrovsk, Donetsk Highway system Roads in Ukraine State Highways ← H 14→ H 16 Highway H15 is a Ukrainian national highway (H-highway) connecting Zaporizhzhia with Donetsk.[1] It passes through Vil'nians'k, Mykhailo-Lukasheve, and Kolos in Vilniansk ...

NK Rudeš

Croatian football club This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: NK Rudeš – news · newspapers · books · scholar · JSTOR (August 2018) (Learn how and when to remove this message) Football clubNK RudešFull nameNogometni klub RudešShort nameRUDFounded1957; 67 years ago (1957)GroundSta...

 

Pralognan-la-Vanoise

Pour les articles homonymes, voir Vanoise. Pralognan-la-Vanoise Vue plongeante de Pralognan-la-Vanoise depuis le pied du Grand Marchet au sud-est. Blason Administration Pays France Région Auvergne-Rhône-Alpes Département Savoie Arrondissement Albertville Intercommunalité Communauté de communes Val Vanoise Maire Mandat Martine Blanc 2023-2026 Code postal 73710 Code commune 73206 Démographie Populationmunicipale 710 hab. (2021 ) Densité 8 hab./km2 Géographie Coordonnées 45°...