American Fuzzy Lop

Magazine
Marque
MISC
HS n°
Numéro
11
|
Mois de parution
juin 2015
|
Domaines


Résumé

Le fuzzing est une technique datant de plusieurs années qui consiste à modifier de manière aléatoire des données fournies à un programme. Le but est de rendre instable le programme lisant ces données. Cette méthode est très utilisée en sécurité informatique pour trouver des failles de sécurité, soit par déni de service, soit par corruption de mémoire. Elle a l'avantage d'être facile à mettre en œuvre et de produire des bons résultats, car les programmeurs font souvent un peu trop confiance dans les données provenant de l'extérieur, sans avoir prévu les cas aux limites, ou qui s'écartent de la norme attendue.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Les environnements virtuels : pourquoi et comment les utiliser

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
|
Mois de parution
septembre 2020
|
Domaines
Résumé

Si vous êtes un Pythoniste débutant, vous en avez probablement entendu parler et si vous êtes confirmés, ils sont forcément tout le temps dans votre boite à outils. Aujourd’hui, ils sont faciles à utiliser, intégrés aux IDE et permettent une économie de temps considérable dans la gestion et la maîtrise de l’environnement de nos applications.

Gestion du système de fichiers

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
|
Mois de parution
septembre 2020
|
Domaines
Résumé

À l’origine, Python était un langage spécifiquement écrit pour répondre à des problématiques système, dont la gestion du système de fichiers est une part importante. Depuis, il n’a eu de cesse de s’améliorer, y compris dans les toutes dernières versions.

Sécurisation du serveur

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
|
Mois de parution
septembre 2020
|
Domaines
Résumé

Notre serveur RHEL est désormais fin prêt à être utilisé et maintenu, sans peine et de manière confortable. Cependant, notre travail n’est pas terminé. Il nous reste encore un élément crucial à valider : nous assurer que le serveur est aussi sûr et protégé que possible face à un éventuel assaillant mal attentionné.

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
|
Mois de parution
septembre 2020
|
Domaines
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.

Par le même auteur

Stack Buffer Overflow

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Cet article retrace un historique des stack buffer overflow tels qu'ils étaient exploités au début des années 2000 puis passe en détail les protections logicielles et matérielles qui ont été mises en œuvre pour les faire disparaître, ainsi que les mesures créées par les attaquants pour les contourner.

Facilitez-vous la vie avec la ligne de commandes

Magazine
Marque
GNU/Linux Magazine
Numéro
202
|
Mois de parution
mars 2017
|
Domaines
Résumé
Si vous utilisez GNU/Linux, alors vous utilisez forcément le shell. Que vous soyez développeur chevronné, administrateur gourou ou utilisateur éclairé, vous passez un temps incroyable devant des lignes de commandes. Cet article donne quelques trucs et astuces pour exploiter encore plus efficacement ce shell.

No one expect command execution

Magazine
Marque
MISC
Numéro
83
|
Mois de parution
janvier 2016
|
Domaines
Résumé
Les termes « exécution arbitraire de code » font généralement rêver tout chercheur en sécurité. Parvenir à détourner le flot d'exécution d'un programme pour en démarrer un autre est rarement une tâche aisée. Toutefois, il arrive que des programmeurs implémentent des options tout à fait légitimes dans leurs programmes qui peuvent être détournées et abusées. Qui soupçonnerait tar, zip ou tcpdump de pouvoir démarrer un programme externe? C'est ce que cet article va présenter.

American Fuzzy Lop

Magazine
Marque
MISC
HS n°
Numéro
11
|
Mois de parution
juin 2015
|
Domaines
Résumé

Le fuzzing est une technique datant de plusieurs années qui consiste à modifier de manière aléatoire des données fournies à un programme. Le but est de rendre instable le programme lisant ces données. Cette méthode est très utilisée en sécurité informatique pour trouver des failles de sécurité, soit par déni de service, soit par corruption de mémoire. Elle a l'avantage d'être facile à mettre en œuvre et de produire des bons résultats, car les programmeurs font souvent un peu trop confiance dans les données provenant de l'extérieur, sans avoir prévu les cas aux limites, ou qui s'écartent de la norme attendue.

MySQL administration

Magazine
Marque
GNU/Linux Magazine
Numéro
155
|
Mois de parution
décembre 2012
|
Domaines
Résumé
MySQL est un SGBD très connu dans le monde du logiciel libre et la très grande majorité des distributions Linux l'ont empaqueté pour l'installer facilement. Bon nombre des lecteurs de Linux Mag ont déjà dû lire quantité de documentations sur le langage SQL et sur les meilleurs moyens de réaliser des requêtes. Cet article ne va pas parler de SQL. Cet article va parler du système MySQL, car un SGBD comme MySQL est (presque) un système à part entière et nous allons étudier MySQL sous l'angle de l'administrateur qui doit gérer des données.

Le talon d'Achille de la plausible deniability

Magazine
Marque
MISC
Numéro
61
|
Mois de parution
mai 2012
|
Domaines
Résumé
Le logiciel Truecrypt propose un mode appelé « plausible deniability » [PLAUSIBLE DENIABILITY] permettant de cacher de manière sûre des données chiffrées sans que l'on puisse prouver leur existence. Cet article étudie ce fonctionnement et présente une faille de ce mode de camouflage, puis propose une solution et sa limite pratique.