Draperi Grégory

La fin de l’année 2011 et le début de l’année 2012 ont été particulièrement agités pour les développeurs du framework Struts [1] car pas moins de 5 vulnérabilités leur ont été rapportées en l’espace de trois semaines. Toutes ces vulnérabilités ont la même origine, à savoir le support d’OGNL dans le framework Struts [2]. Au cours de cet article, nous nous focaliserons sur la vulnérabilité la plus critique et la plus représentative de toutes référencée CVE-2011-3923 [3]. Elle présage de plus d'un vecteur potentiel pour la découverte de nouvelles vulnérabilités sur Struts ou sur d’autres frameworks MVC intégrant le support du langage de script « Expression Language ».

HTML5 est la cinquième et dernière révision du langage HTML. Cette révision initiée par le WHATWG [1] a été reprise en 2007 par le W3C [2] et est maintenant développée de concert par les deux organismes. Elle définit de nouvelles fonctionnalités qui remettent en cause des concepts structurants définis par la précédente version. Cette remise en cause engendre des risques éventuels sur les applications qui seront développées en HTML5 si les nouveaux concepts ne sont pas assimilés ou si l'implémentation souffre de lacunes.