Les articles de Laurent Butti

Automatisation des tests de sécurité en environnement web avec Mozilla Minion

MISC n° 089 | janvier 2017 | Laurent Butti - Frédéric Guegan - Guillaume Lestel
  • Actuellement 3 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

L'automatisation des tests de sécurité, que ce soit en phase de développement ou en environnement de production, est un élément clé de réussite de la réduction des risques (découverte au plus tôt des vulnérabilités et déclenchement des processus de correction). Dans cet article, nous présenterons nos choix et notre retour d'expérience dans...

Lire l'extrait

Content Security Policy en tant que prévention des XSS : théorie et pratique

MISC n° 071 | janvier 2014 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

CSP est un mécanisme reposant sur la définition d'une politique de sécurité ainsi que de son application par le navigateur supportant ces fonctionnalités. Nous proposons dans cet article de décrire les fonctionnalités de ces nouveaux mécanismes de sécurité qui sont sans aucun doute prometteurs tout en s'efforçant d'évaluer la faisabilité de...

Lire l'extrait

Découverte de « DOM-based XSS » avec DOMinatorPro

MISC n° 070 | novembre 2013 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Dans le cadre des tests de sécurité en boite noire sur les applications Web, les failles « DOM-based XSS » sont plus difficiles à découvrir que les classiques « Reflected XSS » et « Persistent XSS ». Cet article rappelle les principes de ce type de failles, et détaille le mode de fonctionnement d'un outil performant dans la découverte...

Lire l'extrait

Tests de régression sécurité avec Selenium

MISC n° 069 | septembre 2013 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les tests logiciels sont nécessaires pour s'assurer du niveau de qualité de l'application développée. Dans le cadre des tests de sécurité, il est aussi possible d'intégrer des tests de régression sur des failles déjà découvertes. Ceci a pour but d'identifier les éventuelles régressions lors d'évolutions logicielles. Nous proposons dans cet...

Lire l'extrait


Évaluation d'outils d'audit web en boîte noire

MISC n° 065 | janvier 2013 | Laurent Butti - Yoann Bertrand
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les outils d'audit web en boîte noire sont-ils un complément sérieux à l'auditeur manuel ? Quelles perspectives est-on en droit d'attendre de ce type d'outils et dans quel cadre ? Cet article s'efforce de répondre à ces interrogations en présentant les résultats d'une évaluation mise en œuvre sur plusieurs outils commerciaux et open source.

Lire l'extrait

Prévention des injections SQL

MISC n° 061 | mai 2012 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

L'injection SQL est une des failles les plus prisées. Nous ne comptons plus petites et grandes organisations ayant vu des données sensibles aspirées avec tous les impacts qui en découlent [DBLOSS]. Malheureusement, cela ne témoigne pas d'une grande technicité de l'exploitation, mais plutôt d'erreurs classiques d'implémentation logicielle. Cet...

Lire l'extrait