MISC n° 101 - 01/01/2019


OpenSSH : une vulnérabilité existant depuis 20 ans a été détectée dans cet outil conçu pour sécuriser les communications

MISC n° 101 | janvier 2019 | Nicolas Vieux
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Cela fait 20 ans qu’une vulnérabilité présente dans OpenSSH permet d’énumérer les utilisateurs. Elle a été rendue publique le 17 août 2018 sous la référence CVE ID 2018-15473. Du fait de sa facilité d’exploitation, des exploits ont rapidement vu le jour sur des sites de dépôt de code comme GitHub, des scripts Python ont également été...

Lire l'extrait

Désérialisation Java : une brève introduction au ROP de haut niveau

MISC n° 101 | janvier 2019 | Alexandre Bartel - Jacques Klein - Yves Le Traon
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les processus de sérialisation et de désérialisation Java ne manipulent que des données et non du code. Malheureusement, comme pour une chaîne ROP, il est possible de combiner des « gadgets » Java pour exécuter du code arbitraire lorsque la désérialisation s’effectue sur des données contrôlées par un attaquant. Nous présentons dans cet...

Lire l'extrait

Récupération des symboles du noyau Linux sur Android

MISC n° 101 | janvier 2019 | Cyrille Bagard
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Si le suivi du flot d’exécution permet de restituer le code d’un noyau Android, peu de désassembleurs s’appuient sur la présence des symboles pour affiner leur analyse. Cet article se propose de fournir les points clefs pour retrouver ces symboles de façon statique dans ce cadre précis, même si l’approche peut être adaptée à d’autres...

Lire l'extrait


Les fondamentaux pour sécuriser une (application) MEAN ?

MISC n° 101 | janvier 2019 | Didier Bernaudeau
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

MEAN est un socle technique composé de MongoDB, Express, Angular et Node.js. Ces quatre composants ont un point commun : le JavaScript ! La connaissance de cet unique langage de programmation vous permet désormais de créer une application web dynamique et moderne. Ce socle technique est donc largement utilisé par les développeurs « full stack »...

Lire l'extrait

Contrôle d’identité avec Passport

MISC n° 101 | janvier 2019 | Didier Bernaudeau
  • Actuellement 5 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

On ne plaisante pas avec un contrôle d’identité ! Il en va de même en sécurité applicative où l’authentification est une fonctionnalité primordiale à mettre en œuvre. Mais quand il faut s’y mettre, le développeur sera confronté à de nombreuses problématiques et se posera beaucoup de questions sans y trouver de réponses, faute d’avoir...

Lire l'extrait

Vos entêtes HTTPS avec HELMET

MISC n° 101 | janvier 2019 | Yvan Phélizot
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

HttpOnly, vous connaissez ? Non ? Et X-XSS-Protection ? Zut… Pourtant ces petits mots doux nous aident à rendre la vie de nos utilisateurs plus sûre. Cet article liste un ensemble d’en-têtes qui aident à réduire le risque d’exploitation de failles de sécurité. Pour chacune d’entre elles, un exemple d’implémentation avec Express.js est...

Lire l'extrait

Intégrer la sécurité dans votre usine de développement JS

MISC n° 101 | janvier 2019 | Yvan Phélizot
  • Actuellement 4 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Développer une application qui répond aux besoins du client est compliqué. Développer une application répondant à l’ensemble des exigences non fonctionnelles est encore plus compliqué. Et développer une application industrialisée et sécurisée relève de l’exploit ! Mais, nous verrons dans cet article qu’à l’impossible nul n’est tenu…

Lire l'extrait

URL interceptor pour milieu inerte

MISC n° 101 | janvier 2019 | Laurent Levier
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Il existe un monde hostile où l’inertie règne trop souvent… pour ne pas faire progresser la sécurité. C’est le monde du Système d’Information et de ses applications. Ce monde est peuplé de gens à l’excuse facile. Parmi celles-ci, il y aura pêle-mêle qu’il faut mettre à jour l’application web pour installer le correctif, que cela...

Lire l'extrait

Le piratage de logiciels dans le monde

MISC n° 101 | janvier 2019 | Daniel Ventre
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Depuis plus de quarante ans, le piratage de logiciels demeure un phénomène planétaire, que rien ne semble véritablement pouvoir enrayer. Cet article s’intéresse à l’évolution du piratage de logiciels dans le monde, plus particulièrement au cours de la dernière décennie (2007-2017). Pour alimenter notre étude, nous nous appuyons sur les...

Lire l'extrait