septembre
2008
Point de CSRF niveau sécurité ici, mais plutôt une évolution majeure du Web, et du protocole HTTP. Aujourd’hui, un objet javascript ne peut accéder à tout ou partie d’une page hebergée sur un domaine différent de celui pour lequel l’objet a été crée. C’est une règle de sécurité que l’on comprendra, mais qui bloque pas mal de développeurs « Web2.0″, dont le but est justement un échange plus large de données. On appelle cela le Same-Domain […]
Un article de doctorrock 
septembre
2008
Scalp! est un analyseur de logs Apache qui sert dans la recherche de problèmes de sécurité et de tentatives d’intrusions, il est basé sur des requêtes du même style que celles du utilisées dans le projet PHP-IDS Pour donner une idée, la commande ressemble à ca : ./scalp-0.4.py -l /var/log/httpd_log -f ./default_filter.xml -o ./scalp-output –html Vous trouverez tout ce qu’il faut ici concernant ce projet
juillet
2008
Voila c’est parti pour la Oscon 2008 ( OpenSource Conference ). Si on se penche sur PHP, voici ce que l’on peut trouver. Que du bon donc, nul doute que les slides seront bientot en ligne, je vous tiens au courant. Une petite pensée à mon ami et collègue Damien Seguy, qui y animera un atelier vraiment très classe : « hack this app », dont le but est de faire comprendre, par la pratique, les concepts […]
mai
2008
Tous ceux qui veulent en savoir un peu plus sur le pilotage de la librairie GD, voici un petit script qui permet de séparer les lettres dans un captcha simple. A voir.
mai
2008
Ronald van den Heetkamp, du HackerWebzine , nous propose son firewall : un fichier htaccess ! Le mod_rewrite permet des prousesses tout à fait remarquables (le mieux étant tout de même de tout mettre dans httpd.conf, en complétant le tout avec une compile d’Apache sur-mesure) Analyse des méthodes HTTP Analyse de l’en-tête cookie Analyse du query string Analyse du referer Si quelque chose cloche : la requête entière est redirigée vers un fichier php qui […]
avril
2008
Vous l’avez peut-etre entendu, mais les sites de Barack Obama et Hillary Clinton, sont tous deux vulnérables à des failles XSS. Xssed nous en donne un aperçu (certaines failles sont déja colmatées). En fait, les commentaires du blog de Barack Obama étaient redirigés vers le site d’Hillary … Mais tous les analystes sont certains que ça aurait pu être bien plus grave ( redirection vers un site malveillant exploitant une faille d’un navigateur, CSRF, etc…. […]
avril
2008
Encore une découverte de faille XSS pour Google, qui mène au vol de cookie, donc au vol d’une identité Google complète (GMail compris, donc). Ca a été corrigé très rapidement par Google, mais nul n’est à l’abri de ce genre de faille, et en cherchant bien, quelqu’un en trouve toujours une. Les infos détaillées ici
février
2008
Voila un petit guide sympa qui récapitule ce qu’est une XSS, comment les déclencher, leurs dangers, et les moyens de s’en prémunir (désactiver Javascript? ^^). Tout ceci écrit de manière rigolote, sous forme ASCII. Ca se passe par ici
janvier
2008
J’ai déja traité le cas sur ce blog il y a quelques temps, voici que Nexen nous en ressert une couche. Remarque, ça ne fait jamais de mal de parler sécurité, surtout concernant PHP_SELF, lorsqu’on connait le nombre impressionnant d’applications qui utilisent un code vulnérable du style : <form method="POST" action="<?php echo $_SERVER[‘PHP_SELF’] ?>"> Répétons donc : tout paramètre provenant de l’extérieur du script est susceptible d’être altérable. La quasi totalité de $_SERVER est basé […]
décembre
2007
Chris Shifflet interview Terry Chay, pour une petite pile de rappels concernant la sécurité en phase de développement, d’analyse ou de conception. Les règles sont toujours les mêmes : Ne faites pas confiance aux utilisateurs De manière plus générale, n’apportez aucune confiance aux données entrant dans votre programme, quelque soit l’entrée (get, post, server, env, cookie ….) Filtrez toute entrée, échappez toute sortie Méfiez vous des injections de commandes, des injections SQL Attention lors de […]
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007