Les articles de Laurent Butti

Automatisation des tests de sécurité en environnement web avec Mozilla Minion

MISC n° 089 | janvier 2017 | Laurent Butti - Frédéric Guegan - Guillaume Lestel
  • Actuellement 3 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

L'automatisation des tests de sécurité, que ce soit en phase de développement ou en environnement de production, est un élément clé de réussite de la réduction des risques (découverte au plus tôt des vulnérabilités et déclenchement des processus de correction). Dans cet article, nous présenterons nos choix et notre retour d'expérience dans...

Lire l'extrait

Content Security Policy en tant que prévention des XSS : théorie et pratique

MISC n° 071 | janvier 2014 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

CSP est un mécanisme reposant sur la définition d'une politique de sécurité ainsi que de son application par le navigateur supportant ces fonctionnalités. Nous proposons dans cet article de décrire les fonctionnalités de ces nouveaux mécanismes de sécurité qui sont sans aucun doute prometteurs tout en s'efforçant d'évaluer la faisabilité de...

Lire l'extrait

Découverte de « DOM-based XSS » avec DOMinatorPro

MISC n° 070 | novembre 2013 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Dans le cadre des tests de sécurité en boite noire sur les applications Web, les failles « DOM-based XSS » sont plus difficiles à découvrir que les classiques « Reflected XSS » et « Persistent XSS ». Cet article rappelle les principes de ce type de failles, et détaille le mode de fonctionnement d'un outil performant dans la découverte...

Lire l'extrait

Tests de régression sécurité avec Selenium

MISC n° 069 | septembre 2013 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les tests logiciels sont nécessaires pour s'assurer du niveau de qualité de l'application développée. Dans le cadre des tests de sécurité, il est aussi possible d'intégrer des tests de régression sur des failles déjà découvertes. Ceci a pour but d'identifier les éventuelles régressions lors d'évolutions logicielles. Nous proposons dans cet...

Lire l'extrait


Évaluation d'outils d'audit web en boîte noire

MISC n° 065 | janvier 2013 | Laurent Butti - Yoann Bertrand
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les outils d'audit web en boîte noire sont-ils un complément sérieux à l'auditeur manuel ? Quelles perspectives est-on en droit d'attendre de ce type d'outils et dans quel cadre ? Cet article s'efforce de répondre à ces interrogations en présentant les résultats d'une évaluation mise en œuvre sur plusieurs outils commerciaux et open source.

Lire l'extrait

Prévention des injections SQL

MISC n° 061 | mai 2012 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

L'injection SQL est une des failles les plus prisées. Nous ne comptons plus petites et grandes organisations ayant vu des données sensibles aspirées avec tous les impacts qui en découlent [DBLOSS]. Malheureusement, cela ne témoigne pas d'une grande technicité de l'exploitation, mais plutôt d'erreurs classiques d'implémentation logicielle. Cet...

Lire l'extrait

w3af : audit en boîte noire d'applications web

MISC n° 056 | juillet 2011 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les applications web sont la cible de nombreuses attaques avec des impacts importants sur les sites web attaqués (perte d'image de marque, compromission de données métiers ou de données clients, ...). Il est nécessaire d'auditer ses applications web, que ce soit en boîte blanche ou en boîte noire. Nous proposons dans cet article de décrire le mode...

Lire l'extrait

Sécurité des architectures hotspots

MISC n° 053 | janvier 2011 | Laurent Butti - Julien Desfossez
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les réseaux d'accès à Internet public par Wi-Fi sont depuis quelques années extrêmement populaires, donnant accès à Internet depuis des lieux publics ou privés. Nous présentons dans cet article la technologie dite « portail captif », qui est actuellement la plus déployée dans le monde. Les opérateurs de réseaux hotspots se protègent...

Lire l'extrait

Protégez-vous avec ModSecurity, le pare-feu web open source

GNU/Linux Magazine HS n° 093 | novembre 2017 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Le « Web Application Firewall » (WAF), bien qu'encore assez marginal, est un élément clé dans la protection des architectures web exposées sur Internet. Dans cet article, nous détaillerons le fonctionnement du pare-feu applicatif le plus utilisé dans le monde open source : ModSecurity. Nous présenterons ses principales fonctionnalités ainsi que...

Lire l'extrait