Tester la sécurité d'une application Web avec OWASP Zap Proxy

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
76
|
Mois de parution
janvier 2015
|
Domaines


Résumé
Vous souhaitez effectuer des tests de sécurité automatisés ou manuels sur une application Web ? Voici comment utiliser OWASP Zap Proxy !

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Pré-authentification Kerberos : de la découverte à l’exploitation offensive

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Les opérations relatives à l’authentification Kerberos ne sont pas toujours remontées dans les journaux des contrôleurs de domaine, ce qui fait de ce protocole une arme de choix pour mener des attaques furtives en environnement Active Directory. Le mécanisme de pré-authentification de ce protocole offre par exemple des possibilités intéressantes pour attaquer les comptes d’un domaine.

Les enjeux de sécurité autour d’Ethernet

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Quand nous parlons attaque, cela nous évoque souvent exploit, faille logicielle, ou même déni de service distribué. Nous allons revenir à des fondamentaux réseaux assez bas niveau, juste après le monde physique, pour se rendre compte qu’il existe bel et bien des vulnérabilités facilement exploitables par un attaquant. Nous verrons également qu’il existe des solutions pour s’en protéger.

Implémentation d’une architecture processeur non supportée sur IDA PRO et Ghidra

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Malgré le nombre d’outils aidant au désassemblage voire à la décompilation de programmes, il arrive parfois que les mécanismes ou les processeurs étudiés ne soient pas nativement supportés. Pour cette raison, certains outils proposent des API permettant d’implémenter une nouvelle architecture. Cet article détaillera les grandes étapes de ce travail pour deux outils majoritairement utilisés, à savoir IDA PRO et Ghidra.

Contrôles de suivi de la conformité RGPD et d’atteinte d’objectifs définis dans la politique de protection de la vie privée

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Afin de mettre en application les exigences de contrôle de conformité (article 24 du RGPD), les directions générales, qu’elles aient désigné ou non un Délégué à Protection des Données (DPD), doivent mettre en œuvre des contrôles concernant les répartitions de responsabilités entre les acteurs impliqués par le traitement et l’application de règles opposables, l’effectivité des droits des personnes concernées, la sécurité des traitements et la mise à disposition des éléments de preuve pour démontrer la conformité des traitements de données à caractère personnel.

Stack Buffer Overflow

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Cet article retrace un historique des stack buffer overflow tels qu'ils étaient exploités au début des années 2000 puis passe en détail les protections logicielles et matérielles qui ont été mises en œuvre pour les faire disparaître, ainsi que les mesures créées par les attaquants pour les contourner.

Par le même auteur

OWASP Top10 : le palmarès pour 2018

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
|
Domaines
Résumé
Quel développeur ne connaît pas l’OWASP Top10 ? Il semble qu’en 2018 un nombre encore trop important ne le connaît pas, ou mal. Je vous propose donc de vous détailler ce référentiel pour faire en sorte que vos applications web disposent d’un niveau de sécurité considéré suffisant.

Le CSRF démystifié et bloqué

Magazine
Marque
GNU/Linux Magazine
Numéro
200
|
Mois de parution
janvier 2017
|
Domaines
Résumé
Dans cet article, nous allons détailler la vulnérabilité appelée CSRF qui est l’une des plaies les plus courantes que l’on remonte dans les audits de sécurité tout en proposant diverses solutions en fonction du contexte de l’application Web que vous utilisez.

Node.js == Sécurité ?

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
85
|
Mois de parution
juillet 2016
|
Domaines
Résumé
On parle de plus en plus de déployer du Node.js sur les serveurs dans la mode DevOPS/Web 42.0. Bien sûr, ce type de serveur répond à pas mal de problématiques pour les développeurs, et sûrement aussi pour certains administrateurs… Mais comment le déployer correctement pour éviter de se faire « p0wner » par un méchant petit pirate de l’Internet ? Dans cet article, nous allons faire le tour des fonctionnalités minimales permettant de s’assurer une sécurité du serveur Node.