MISC Hors-série N°
Numéro
4

À l'assaut du Web

Temporalité
Octobre/Novembre 2011
Image v3
À l'assaut du Web
Article mis en avant

La SOP et ses contournements

Résumé

La Same Origin Policy est la clé de voûte de la sécurité des navigateurs, sans laquelle l'Internet s'écroulerait rapidement. C'est ce qui empêche une page web malicieuse d'accéder au contenu d'autres pages, ou au contenu du disque dur de l'internaute. Et la plupart des attaques web ont pour objectif de la contourner afin d'accéder à des ressources normalement interdites.Dans cet article, nous verrons les mécanismes de la Same Origin Policy qui la rendent aussi indispensable, et comment les attaquants procèdent pour la contourner.

Lire la suite

Dans ce numéro...


Webkit + XSLT = CVE-2011-1774
Par Grégoire Nicolas
Exploit Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Grégoire Nicolas
XSLT est un langage intégré aux navigateurs récents, permettant de manipuler et de mettre en page des données XML. Comme nous allons le voir, cela n'est pas sans risque pour les internautes utilisant Webkit.
> Lire l'extrait
Au-delà du XSS
Par Bidou Renaud, hb
Exploit Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud, hb
Le Cross-Site Scripting peut être utilisé à d'autres fins que le vol de cookies. Revoyons rapidement les bases de cette attaque, qui n'est pas toute jeune, et construisons ensemble les bases d'un botnet XSS.
> Lire l'extrait
Architectures web sécurisées
Par Bidou Renaud
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud
L'architecture est une des composantes de la sécurité d'une application web qu'il convient de ne pas négliger. Que ce soit au titre de la prévention ou de l'isolation d'un composant qui sera inévitablement compromis un jour ou l'autre, une infrastructure robuste est un élément nécessaire dans une politique de sécurité cohérente.
> Lire l'extrait
Construire une architecture d’hébergement 3 tiers sécurisée
Par Bailleux Christophe
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bailleux Christophe
La vie économique étant étroitement liée à Internet, les échanges de données qui y transitent chaque jour sont la cible potentielle d’attaque venant de virus ou de personnes mal intentionnées. Riche en informations, Internet est également riche en vulnérabilités. De plus, depuis plusieurs années, Internet fait l’objet d’une nouvelle délinquance toujours à l’affût de nouvelles failles sur les sites internet.Ainsi, à travers cet article, nous allons vous présenter un modèle d’architecture appelé « architecture 3 tiers ». Ce type d’architecture assure un certain cloisonnement entre les applications et apporte ainsi une meilleure sécurité, à condition de respecter certaines règles relatives à la configuration des services. Et ce sont les mises en œuvre de ces configurations que nous allons vous présenter ici.
> Lire l'extrait
ModSecurity : fonctionnement et déploiement
Par Butti Laurent, Methia Karim
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Butti Laurent, Methia Karim
Le « Web Application Firewall » (WAF) est un élément clé dans la protection des architectures web. Dans cet article, nous détaillerons le fonctionnement du pare-feu applicatif le plus utilisé dans le monde open source : ModSecurity. Nous présenterons ses principales fonctionnalités ainsi que les points clés dans la réussite de son déploiement, en particulier vis-à-vis des contraintes de l'utilisation d'une telle technologie dans des sites à forte audience.
> Lire l'extrait
Patch à la volée avec ModSecurity
Par Bouthors Matthieu
Sécurité réseau Data / Big Data
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bouthors Matthieu
Lors de découverte d'une vulnérabilité dans une application web, la réactivité est primordiale. Lorsqu'il n'est pas simple de patcher la source de la vulnérabilité, ModSecurity nous permet de bloquer rapidement la faille.
> Lire l'extrait
La grande évasion
Par Bidou Renaud
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bidou Renaud
Attaquer un serveur web est simple, en principe. Il est toutefois rare de nos jours de tomber sur une application qui ne dispose d'aucune protection. Qu'il s'agisse d'équipements de sécurité tels que des Web Application Firewall ou de filtres directement codés dans l'application, la plupart des attaques par injection resteront inefficaces. Sauf si...
> Lire l'extrait
Prise en compte de la sécurité dans un framework PHP : le cas Symfony2
Par Salomé Alexandre
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Salomé Alexandre
Les frameworks sont devenus incontournables dans le développement web, car ils standardisent les développements. Cet article s'intéresse aux problématiques de sécurité dans un framework, plus précisément ici dans Symfony2.
> Lire l'extrait
Drupal/WordPress, les nouveaux frameworks et leurs failles
Par Barthelemy Cyrille, Binétruy Thibaud
Pentest Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Barthelemy Cyrille, Binétruy Thibaud
51 millions de sites déployés sur WordPress, 15 000 plugins associés, 540 vulnérabilités publiées entre 2006 et 2010 pour WordPress et Drupal ; comme dirait Bernard, « Bienvenue sur le territoire des CMS, voyage au cœur d'une nébuleuse ».
> Lire l'extrait
La sécurité selon Facebook
Par Bru François-Xavier
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Bru François-Xavier
Le réseau social aux 600 millions d'utilisateurs, véritable « cloud » de données privées, est devenu pour la plupart des internautes le moyen unique et centralisé de partager et de communiquer avec ses proches. Mais le coffre-fort qu'il se doit d'être pour nos informations personnelles est-il vraiment robuste ?
> Lire l'extrait
Et pour quelques Bitcoins de plus
Par Arcas Guillaume, Teissier Jean-Philippe
Sécurité réseau
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
| Arcas Guillaume, Teissier Jean-Philippe
Le projet Bitcoin [1] est décrit par ses détracteurs comme la plus grande menace de tous les temps pesant sur Internet. Pourtant, il ne s'agit ni du dernier malware chinois (ou russe ou américain ou ...), ni d'un groupe d'hacktivistes anonymes ou humoristiques, ni du Kill Switch américain (ou russe ou chinois ou ...).Son inventeur le décrit comme un moyen de paiement électronique de pair à pair autorisant les paiements sans recours à une institution financière, sans frais et garantissant l'anonymat des acheteurs et vendeurs. Ses partisans les plus ardents voient même en lui l'arme absolue contre l'inflation quand des économistes crient à l'arnaque. Les sénateurs américains Charles Schumer et Joe Manchin ont même déposé un projet de loi visant à interdire l'utilisation de Bitcoin. Wikileaks a annoncé en juin 2011 accepter les donations en BTC.
> Lire l'extrait

Magazines précédents

Petit traité de sécurité
MISC Hors-série N°3
Petit traité de sécurité
Cartes à puce : découvrez leurs fonctionnalités et leur limites
MISC Hors-série N°2
Cartes à puce : découvrez leurs fonctionnalités et leur limites
Tests d'intrusion : Comment évaluer la sécurité de ses systèmes et réseaux ?
MISC Hors-série N°1
Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Les derniers articles Premiums

Les derniers articles Premium

La place de l’Intelligence Artificielle dans les entreprises

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Société
IA
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture
Petit guide d’outils open source pour le télétravail

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture
Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Sécurité du code
Web
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Ajouter à une liste de lecture
Bash des temps modernes

Bash des temps modernes

Magazine
Marque
Contenu Premium
Auteurs
Par
Pelisse Romain
Spécialité(s)
Système
Résumé

Les scripts Shell, et Bash spécifiquement, demeurent un standard, de facto, de notre industrie. Ils forment un composant primordial de toute distribution Linux, mais c’est aussi un outil de prédilection pour implémenter de nombreuses tâches d’automatisation, en particulier dans le « Cloud », par eux-mêmes ou conjointement à des solutions telles que Ansible. Pour toutes ces raisons et bien d’autres encore, savoir les concevoir de manière robuste et idempotente est crucial.

Ajouter à une liste de lecture
Voir les 48 articles premium
Body