MISC Hors-série N°
Numéro
4

À l'assaut du Web

Temporalité
Octobre/Novembre 2011
Image v3
À l'assaut du Web
Article mis en avant

La SOP et ses contournements

Résumé

La Same Origin Policy est la clé de voûte de la sécurité des navigateurs, sans laquelle l'Internet s'écroulerait rapidement. C'est ce qui empêche une page web malicieuse d'accéder au contenu d'autres pages, ou au contenu du disque dur de l'internaute. Et la plupart des attaques web ont pour objectif de la contourner afin d'accéder à des ressources normalement interdites.Dans cet article, nous verrons les mécanismes de la Same Origin Policy qui la rendent aussi indispensable, et comment les attaquants procèdent pour la contourner.

Lire la suite

Dans ce numéro...


Webkit + XSLT = CVE-2011-1774
Par Grégoire Nicolas
Exploit Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Grégoire Nicolas
XSLT est un langage intégré aux navigateurs récents, permettant de manipuler et de mettre en page des données XML. Comme nous allons le voir, cela n'est pas sans risque pour les internautes utilisant Webkit.
> Lire l'extrait
Au-delà du XSS
Par Bidou Renaud, hb
Exploit Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud, hb
Le Cross-Site Scripting peut être utilisé à d'autres fins que le vol de cookies. Revoyons rapidement les bases de cette attaque, qui n'est pas toute jeune, et construisons ensemble les bases d'un botnet XSS.
> Lire l'extrait
Architectures web sécurisées
Par Bidou Renaud
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud
L'architecture est une des composantes de la sécurité d'une application web qu'il convient de ne pas négliger. Que ce soit au titre de la prévention ou de l'isolation d'un composant qui sera inévitablement compromis un jour ou l'autre, une infrastructure robuste est un élément nécessaire dans une politique de sécurité cohérente.
> Lire l'extrait
Construire une architecture d’hébergement 3 tiers sécurisée
Par Bailleux Christophe
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bailleux Christophe
La vie économique étant étroitement liée à Internet, les échanges de données qui y transitent chaque jour sont la cible potentielle d’attaque venant de virus ou de personnes mal intentionnées. Riche en informations, Internet est également riche en vulnérabilités. De plus, depuis plusieurs années, Internet fait l’objet d’une nouvelle délinquance toujours à l’affût de nouvelles failles sur les sites internet.Ainsi, à travers cet article, nous allons vous présenter un modèle d’architecture appelé « architecture 3 tiers ». Ce type d’architecture assure un certain cloisonnement entre les applications et apporte ainsi une meilleure sécurité, à condition de respecter certaines règles relatives à la configuration des services. Et ce sont les mises en œuvre de ces configurations que nous allons vous présenter ici.
> Lire l'extrait
ModSecurity : fonctionnement et déploiement
Par Butti Laurent, Methia Karim
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Butti Laurent, Methia Karim
Le « Web Application Firewall » (WAF) est un élément clé dans la protection des architectures web. Dans cet article, nous détaillerons le fonctionnement du pare-feu applicatif le plus utilisé dans le monde open source : ModSecurity. Nous présenterons ses principales fonctionnalités ainsi que les points clés dans la réussite de son déploiement, en particulier vis-à-vis des contraintes de l'utilisation d'une telle technologie dans des sites à forte audience.
> Lire l'extrait
Patch à la volée avec ModSecurity
Par Bouthors Matthieu
Sécurité réseau Data / Big Data
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bouthors Matthieu
Lors de découverte d'une vulnérabilité dans une application web, la réactivité est primordiale. Lorsqu'il n'est pas simple de patcher la source de la vulnérabilité, ModSecurity nous permet de bloquer rapidement la faille.
> Lire l'extrait
La grande évasion
Par Bidou Renaud
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud
Attaquer un serveur web est simple, en principe. Il est toutefois rare de nos jours de tomber sur une application qui ne dispose d'aucune protection. Qu'il s'agisse d'équipements de sécurité tels que des Web Application Firewall ou de filtres directement codés dans l'application, la plupart des attaques par injection resteront inefficaces. Sauf si...
> Lire l'extrait
Prise en compte de la sécurité dans un framework PHP : le cas Symfony2
Par Salomé Alexandre
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Salomé Alexandre
Les frameworks sont devenus incontournables dans le développement web, car ils standardisent les développements. Cet article s'intéresse aux problématiques de sécurité dans un framework, plus précisément ici dans Symfony2.
> Lire l'extrait
Drupal/WordPress, les nouveaux frameworks et leurs failles
Par Barthelemy Cyrille, Binétruy Thibaud
Pentest Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Barthelemy Cyrille, Binétruy Thibaud
51 millions de sites déployés sur WordPress, 15 000 plugins associés, 540 vulnérabilités publiées entre 2006 et 2010 pour WordPress et Drupal ; comme dirait Bernard, « Bienvenue sur le territoire des CMS, voyage au cœur d'une nébuleuse ».
> Lire l'extrait
La sécurité selon Facebook
Par Bru François-Xavier
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bru François-Xavier
Le réseau social aux 600 millions d'utilisateurs, véritable « cloud » de données privées, est devenu pour la plupart des internautes le moyen unique et centralisé de partager et de communiquer avec ses proches. Mais le coffre-fort qu'il se doit d'être pour nos informations personnelles est-il vraiment robuste ?
> Lire l'extrait
Et pour quelques Bitcoins de plus
Par Arcas Guillaume, Teissier Jean-Philippe
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Arcas Guillaume, Teissier Jean-Philippe
Le projet Bitcoin [1] est décrit par ses détracteurs comme la plus grande menace de tous les temps pesant sur Internet. Pourtant, il ne s'agit ni du dernier malware chinois (ou russe ou américain ou ...), ni d'un groupe d'hacktivistes anonymes ou humoristiques, ni du Kill Switch américain (ou russe ou chinois ou ...).Son inventeur le décrit comme un moyen de paiement électronique de pair à pair autorisant les paiements sans recours à une institution financière, sans frais et garantissant l'anonymat des acheteurs et vendeurs. Ses partisans les plus ardents voient même en lui l'arme absolue contre l'inflation quand des économistes crient à l'arnaque. Les sénateurs américains Charles Schumer et Joe Manchin ont même déposé un projet de loi visant à interdire l'utilisation de Bitcoin. Wikileaks a annoncé en juin 2011 accepter les donations en BTC.
> Lire l'extrait

Magazines précédents

Petit traité de sécurité
MISC Hors-série N°3
Petit traité de sécurité
Cartes à puce : découvrez leurs fonctionnalités et leur limites
MISC Hors-série N°2
Cartes à puce : découvrez leurs fonctionnalités et leur limites
Tests d'intrusion : Comment évaluer la sécurité de ses systèmes et réseaux ?
MISC Hors-série N°1
Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Auteurs
Par
Brocas Christophe
Spécialité(s)
Sécurité système
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Ajouter à une liste de lecture
Surveillez la consommation énergétique de votre code

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Auteurs
Par
Beuret Stéphane
Spécialité(s)
Système
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Ajouter à une liste de lecture
Donnez une autre dimension à vos logs avec Vector

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Auteurs
Par
Beuret Stéphane
Spécialité(s)
Système
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Ajouter à une liste de lecture
Écriture d’une API REST en Python : sécurisation des requêtes Flask RESTful
Voir les 31 articles premium
Body