Sécurité

2025-05-12Sécurité

Secure Coding in Java: A Practical Guide to Avoiding Deserialization Flaws

Cet article aborde les problèmes de sécurité liés à la sérialisation et désérialisation en Java, une fonctionnalité commune mais risquée qui peut entraîner l'exécution de code arbitraire si des données non fiables sont désérialisées. Il explore les vulnérabilités associées à la désérialisation, présente des exemples de code et propose des techniques de codage défensif pour sécuriser les applications. L'article souligne l'importance de comprendre les techniques de désérialisation et les risques qu'elles représentent, ainsi que les meilleures pratiques pour minimiser ces risques.

medium.com

java

2025-05-09Sécurité

New in Symfony 7.3: Mailer Security Improvements (Symfony Blog)

La version 7.3 de Symfony améliore la sécurité des e-mails avec des fonctionnalités comme l'exigence de TLS pour le SMTP, garantissant l'envoi sécurisé des messages. De plus, elle introduit la signature et le chiffrement globaux des messages, simplifiant la configuration pour que tous les e-mails soient automatiquement sécurisés sans effort supplémentaire.

symfony.com

dkim tls symfony

2025-05-06Sécurité

Ubuntu va adopter "sudo" en Rust

Ubuntu va remplacer l'outil 'sudo' par une version réécrite en Rust, appelée sudo-rs, à partir de la version 25.10. Ce projet vise à améliorer la sécurité et la gestion des privilèges dans le système. Ubuntu prévoit également d'intégrer des outils modernes comme SequoiaPGP et de migrer vers uutils coreutils, tout en assurant une transition fluide pour les utilisateurs. Cette initiative est soutenue par la Trifecta Tech Foundation.

www.linuxtricks.fr

selinux sudo rust

2025-04-30Sécurité

JWT (JSON Web Token): Vulnerabilities, Common Attacks and Security Best Practices

Cet article aborde les tokens JWT (JSON Web Tokens) utilisés pour l'authentification dans les applications web. Il compare les approches d'authentification stateful et stateless, mettant en lumière le rôle des JWT dans une approche stateless. L'article explique comment fonctionnent les JWT, leur structure et les algorithmes de signature. En outre, il examine les vulnérabilités potentielles des JWT, les techniques d'attaque et fournit des bonnes pratiques pour sécuriser leur implémentation afin de minimiser les risques liés à des failles de sécurité.

www.vaadata.com

jwt jwe jws

2025-04-29Sécurité

BunkerWeb documentation

BunkerWeb est un pare-feu pour applications web open-source et de nouvelle génération, construit sur NGINX, offrant une intégration aisée dans divers environnements comme Linux, Docker et Kubernetes. Il propose de nombreuses fonctionnalités de sécurité, une interface utilisateur web conviviale, et un système de plugins pour étendre ses capacités. BunkerWeb se veut facilement personnalisable et sécurisé par défaut, permettant une configuration adaptée aux besoins des utilisateurs tout en garantissant une protection minimale dès le départ.

docs.bunkerweb.io

kubernetes nginx docker

2025-04-29Sécurité

File Upload Vulnerabilities and Security Best Practices

Cet article examine les vulnérabilités liées à l'upload de fichiers dans les applications web, détaillant les techniques d'exploitation utilisées par les attaquants et les meilleures pratiques de sécurité à mettre en place pour protéger cette fonctionnalité. Il explique les modes d'exploitation, les mécanismes de protection à connaître, ainsi que des exemples concrets d'attaques et leurs conséquences potentielles, comme l'exécution de code malveillant ou des attaques XSS. Le texte insiste sur l'importance d'une validation rigoureuse des fichiers uploadés afin de prévenir ces risques.

www.vaadata.com

web security php http

2025-04-27Sécurité

Anubis : un bloqueur de bots

L'article présente Anubis, un reverse proxy développé pour bloquer les bots sur le web, en utilisant un mécanisme de preuve de travail basé sur JavaScript. Ce système permet d'éviter la surcharge de requêtes causée par des crawlers AI. En plus de décrire son fonctionnement, l'auteur partage des exemples d'utilisation, notamment avec Codeberg et SearXNG. Anubis est conçu pour être léger et rapide, intégrant des techniques efficaces pour s'assurer que seuls les utilisateurs légitimes accèdent aux services protégés.

www.fredix.xyz

jwt javascript go

2025-04-22Sécurité

Taint Analysis: Exploring Hidden Dangers in Your Team’s Code

Une discussion autour de l'analyse des dangers cachés dans le code des équipes, menée par des experts de JetBrains. La session aborde les checks critiques pour améliorer la sécurité du code et comment les intégrer facilement dans le processus de révision du code. Les participants découvriront les stratégies pour traiter les vulnérabilités et les meilleures pratiques pour sécuriser les applications, avec une séance de questions-réponses à la fin.

blog.jetbrains.com

taint analysis intellij idea jetbrains

2025-04-22Sécurité

Openssl : Création d'une Autorité de Certification interne et de Certificats Clients - Wiki

Cet article décrit comment générer et déployer une autorité de certification personnelle ainsi que des certificats SSL pour un domaine, en utilisant OpenSSL. Il inclut les étapes pour créer une CA, générer un certificat client, et les configurations nécessaires pour Apache et Nginx dans un environnement de homelab. Des instructions sur la mise en place des certificats et des exemples de commandes sont également fournis.

www.linuxtricks.fr

apache nginx openssl

2025-04-20Sécurité

SSH over Openssl over Haproxy - - contourner les blocages

Cet article explique comment utiliser Haproxy pour contourner les restrictions réseau en faisant passer du trafic SSH sur le port 443 en utilisant le protocole SSL. Il décrit les étapes nécessaires pour configurer Haproxy afin de rediriger les flux HTTP et SSH, ainsi que les implications de sécurité de ces manipulations. Les deux étapes clés incluent d'abord faire passer SSH sur le port 443, puis encapsuler le flux SSH dans du SSL pour le rendre indétectable par des pare-feux avancés.

blog.victor-hery.com

ssh ssl haproxy