MISC Hors-série N°
Numéro
4

À l'assaut du Web

Temporalité
Octobre/Novembre 2011
Image v3
À l'assaut du Web
Article mis en avant

La SOP et ses contournements

Résumé

La Same Origin Policy est la clé de voûte de la sécurité des navigateurs, sans laquelle l'Internet s'écroulerait rapidement. C'est ce qui empêche une page web malicieuse d'accéder au contenu d'autres pages, ou au contenu du disque dur de l'internaute. Et la plupart des attaques web ont pour objectif de la contourner afin d'accéder à des ressources normalement interdites.Dans cet article, nous verrons les mécanismes de la Same Origin Policy qui la rendent aussi indispensable, et comment les attaquants procèdent pour la contourner.

Lire la suite

Dans ce numéro...


Webkit + XSLT = CVE-2011-1774
Par Grégoire Nicolas
Exploit Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Grégoire Nicolas
XSLT est un langage intégré aux navigateurs récents, permettant de manipuler et de mettre en page des données XML. Comme nous allons le voir, cela n'est pas sans risque pour les internautes utilisant Webkit.
> Lire l'extrait
Au-delà du XSS
Par Bidou Renaud, hb
Exploit Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud, hb
Le Cross-Site Scripting peut être utilisé à d'autres fins que le vol de cookies. Revoyons rapidement les bases de cette attaque, qui n'est pas toute jeune, et construisons ensemble les bases d'un botnet XSS.
> Lire l'extrait
Architectures web sécurisées
Par Bidou Renaud
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud
L'architecture est une des composantes de la sécurité d'une application web qu'il convient de ne pas négliger. Que ce soit au titre de la prévention ou de l'isolation d'un composant qui sera inévitablement compromis un jour ou l'autre, une infrastructure robuste est un élément nécessaire dans une politique de sécurité cohérente.
> Lire l'extrait
Construire une architecture d’hébergement 3 tiers sécurisée
Par Bailleux Christophe
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bailleux Christophe
La vie économique étant étroitement liée à Internet, les échanges de données qui y transitent chaque jour sont la cible potentielle d’attaque venant de virus ou de personnes mal intentionnées. Riche en informations, Internet est également riche en vulnérabilités. De plus, depuis plusieurs années, Internet fait l’objet d’une nouvelle délinquance toujours à l’affût de nouvelles failles sur les sites internet.Ainsi, à travers cet article, nous allons vous présenter un modèle d’architecture appelé « architecture 3 tiers ». Ce type d’architecture assure un certain cloisonnement entre les applications et apporte ainsi une meilleure sécurité, à condition de respecter certaines règles relatives à la configuration des services. Et ce sont les mises en œuvre de ces configurations que nous allons vous présenter ici.
> Lire l'extrait
ModSecurity : fonctionnement et déploiement
Par Butti Laurent, Methia Karim
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Butti Laurent, Methia Karim
Le « Web Application Firewall » (WAF) est un élément clé dans la protection des architectures web. Dans cet article, nous détaillerons le fonctionnement du pare-feu applicatif le plus utilisé dans le monde open source : ModSecurity. Nous présenterons ses principales fonctionnalités ainsi que les points clés dans la réussite de son déploiement, en particulier vis-à-vis des contraintes de l'utilisation d'une telle technologie dans des sites à forte audience.
> Lire l'extrait
Patch à la volée avec ModSecurity
Par Bouthors Matthieu
Sécurité réseau Data / Big Data
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bouthors Matthieu
Lors de découverte d'une vulnérabilité dans une application web, la réactivité est primordiale. Lorsqu'il n'est pas simple de patcher la source de la vulnérabilité, ModSecurity nous permet de bloquer rapidement la faille.
> Lire l'extrait
La grande évasion
Par Bidou Renaud
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud
Attaquer un serveur web est simple, en principe. Il est toutefois rare de nos jours de tomber sur une application qui ne dispose d'aucune protection. Qu'il s'agisse d'équipements de sécurité tels que des Web Application Firewall ou de filtres directement codés dans l'application, la plupart des attaques par injection resteront inefficaces. Sauf si...
> Lire l'extrait
Prise en compte de la sécurité dans un framework PHP : le cas Symfony2
Par Salomé Alexandre
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Salomé Alexandre
Les frameworks sont devenus incontournables dans le développement web, car ils standardisent les développements. Cet article s'intéresse aux problématiques de sécurité dans un framework, plus précisément ici dans Symfony2.
> Lire l'extrait
Drupal/WordPress, les nouveaux frameworks et leurs failles
Par Barthelemy Cyrille, Binétruy Thibaud
Pentest Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Barthelemy Cyrille, Binétruy Thibaud
51 millions de sites déployés sur WordPress, 15 000 plugins associés, 540 vulnérabilités publiées entre 2006 et 2010 pour WordPress et Drupal ; comme dirait Bernard, « Bienvenue sur le territoire des CMS, voyage au cœur d'une nébuleuse ».
> Lire l'extrait
La sécurité selon Facebook
Par Bru François-Xavier
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bru François-Xavier
Le réseau social aux 600 millions d'utilisateurs, véritable « cloud » de données privées, est devenu pour la plupart des internautes le moyen unique et centralisé de partager et de communiquer avec ses proches. Mais le coffre-fort qu'il se doit d'être pour nos informations personnelles est-il vraiment robuste ?
> Lire l'extrait
Et pour quelques Bitcoins de plus
Par Arcas Guillaume, Teissier Jean-Philippe
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Arcas Guillaume, Teissier Jean-Philippe
Le projet Bitcoin [1] est décrit par ses détracteurs comme la plus grande menace de tous les temps pesant sur Internet. Pourtant, il ne s'agit ni du dernier malware chinois (ou russe ou américain ou ...), ni d'un groupe d'hacktivistes anonymes ou humoristiques, ni du Kill Switch américain (ou russe ou chinois ou ...).Son inventeur le décrit comme un moyen de paiement électronique de pair à pair autorisant les paiements sans recours à une institution financière, sans frais et garantissant l'anonymat des acheteurs et vendeurs. Ses partisans les plus ardents voient même en lui l'arme absolue contre l'inflation quand des économistes crient à l'arnaque. Les sénateurs américains Charles Schumer et Joe Manchin ont même déposé un projet de loi visant à interdire l'utilisation de Bitcoin. Wikileaks a annoncé en juin 2011 accepter les donations en BTC.
> Lire l'extrait

Magazines précédents

Petit traité de sécurité
MISC Hors-série N°3
Petit traité de sécurité
Cartes à puce : découvrez leurs fonctionnalités et leur limites
MISC Hors-série N°2
Cartes à puce : découvrez leurs fonctionnalités et leur limites
Tests d'intrusion : Comment évaluer la sécurité de ses systèmes et réseaux ?
MISC Hors-série N°1
Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Les derniers articles Premiums

Les derniers articles Premium

Le combo gagnant de la virtualisation : QEMU et KVM

Le combo gagnant de la virtualisation : QEMU et KVM

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

C’est un fait : la virtualisation est partout ! Que ce soit pour la flexibilité des systèmes ou bien leur sécurité, l’adoption de la virtualisation augmente dans toutes les organisations depuis des années. Dans cet article, nous allons nous focaliser sur deux technologies : QEMU et KVM. En combinant les deux, il est possible de créer des environnements de virtualisation très robustes.

Ajouter à une liste de lecture
Brève introduction pratique à ZFS

Brève introduction pratique à ZFS

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

Il est grand temps de passer à un système de fichiers plus robuste et performant : ZFS. Avec ses fonctionnalités avancées, il assure une intégrité des données inégalée et simplifie la gestion des volumes de stockage. Il permet aussi de faire des snapshots, des clones, et de la déduplication, il est donc la solution idéale pour les environnements de stockage critiques. Découvrons ensemble pourquoi ZFS est LE choix incontournable pour l'avenir du stockage de données.

Ajouter à une liste de lecture
Générez votre serveur JEE sur-mesure avec Wildfly Glow

Générez votre serveur JEE sur-mesure avec Wildfly Glow

Magazine
Marque
Contenu Premium
Auteurs
Par
Pelisse Romain
Spécialité(s)
Système
Résumé

Et, si, en une ligne de commandes, on pouvait reconstruire son serveur JEE pour qu’il soit configuré, sur mesure, pour les besoins des applications qu’il embarque ? Et si on pouvait aller encore plus loin, en distribuant l’ensemble, assemblé sous la forme d’un jar exécutable ? Et si on pouvait même déployer le tout, automatiquement, sur OpenShift ? Grâce à Wildfly Glow [1], c’est possible ! Tout du moins, pour le serveur JEE open source Wildfly [2]. Démonstration dans cet article.

Ajouter à une liste de lecture
Utilisation avancée de SQLPage
Voir les 43 articles premium
Body