Sécurité

Sécurité

Content Security Policy Bypass Techniques and Security Best Practices

Cet article traite de la politique de sécurité des contenus (CSP), une mesure essentielle pour protéger les applications web contre diverses attaques, comme les attaques XSS. Il explore les directives clés de la CSP, les erreurs de configuration courantes pouvant être exploitées, ainsi que des pratiques recommandées pour renforcer la sécurité. Une attention particulière est portée sur les directives de récupération et sur les valeurs possibles, ainsi que sur des exemples concrets et des techniques de contournement de la CSP.

www.vaadata.com

httpjavascriptcontent security policy
Sécurité

From finding to fixing: GitHub Advanced Security integrates Endor Labs SCA

Avec l'augmentation dramatique des vulnérabilités de sécurité dans les dépendances open source, GitHub collabore avec Endor Labs pour aider les développeurs à gérer et prioriser ces risques. Grâce à l'analyse de la composition logicielle d'Endor Labs, les équipes peuvent se concentrer sur les alertes de sécurité critiques en réduisant le bruit des fausses alertes. GitHub Advanced Security, qui intègre des fonctionnalités telles que l'analyse statique et le scanning de secrets, permet de remédier rapidement aux vulnérabilités. En automatisant la gestion des dépendances et en fournissant des outils de sécurité intégrés, GitHub facilite la création de workflows sécurisés pour les développeurs, tout en maintenant la conformité avec les normes de sécurité.

github.blog

githubaiendor labs
Sécurité

What is Blind SQL Injection? Attack Types, Exploitations and Security Tips

Les injections SQL aveugles sont des vulnérabilités qui permettent aux attaquants d'exploiter des failles de sécurité dans une application sans obtenir directement les résultats des requêtes. Ce type d'injection se base sur des indices indirects, comme des variations de temps de réponse ou un comportement modifié de l'application. Cet article décrit les différents types d'injections SQL aveugles, leurs méthodes d'exploitation, ainsi que les bonnes pratiques pour s'en protéger.

www.vaadata.com

web securityvulnerability testingsql
Sécurité

What is Kerberoasting? Attack and Security Tips Explained

L'article traite des attaques Kerberoasting dans les environnements Active Directory, qui exploitent des faiblesses du protocole Kerberos. Il décrit le processus d'une telle attaque, comment identifier les comptes vulnérables, et propose des méthodes de protection contre les attaques. L'objectif est de récupérer des tickets de service dont les informations sont chiffrées avec le mot de passe du compte lié, permettant ainsi aux attaquants de réaliser une analyse cryptographique pour deviner ce mot de passe.

www.vaadata.com

active directorycryptanalysiskerberos
Sécurité

OPNsense 25.1 est disponible - Provya

La version 25.1 d'OPNsense, surnommée 'Ultimate Unicorn', apporte des améliorations majeures telles qu'une conversion vers un framework MVC/API, une nouvelle interface utilisateur, des améliorations dans les règles de filtrage et la gestion de la priorisation du trafic, ainsi que des mises à jour sur la documentation et les plugins. Elle est plus simple et efficace par rapport à pfSense.

provya.net

freebsdopnsenseapi
Sécurité

Cybersecurity researchers: Digital detectives in a connected world

Les chercheurs en cybersécurité agissent comme des détectives numériques, recherchant les vulnérabilités avant qu'elles ne soient exploitées par des acteurs malveillants. Leur travail est crucial pour protéger les données et prévenir les cyberattaques. Ils collaborent avec des développeurs et des administrateurs système pour sécuriser les systèmes informatiques. De plus, le domaine est accessible à ceux de divers parcours, soulignant l'importance de la curiosité et de la créativité pour résoudre des problèmes complexes dans un environnement en constante évolution.

github.blog

reverse engineeringcryptographiecybersécurité
Sécurité

Attacks on Maven proxy repositories

Cet article explore les vulnérabilités et les attaques potentielles sur les gestionnaires de dépôts Maven, un outil largement utilisé pour la gestion des dépendances dans les projets Java. L'auteur discute de ses découvertes concernant des failles de sécurité qui pourraient permettre l'exécution de code malveillant à distance en exploitant des artefacts malveillants. Il souligne l'importance de la sécurité de Maven Central et des autres dépôts publics pour protéger les développeurs et les entreprises utilisant Java.

github.blog

javasonatype nexusmaven
Sécurité

Symfony Security Best Practices, Vulnerabilities and Attacks

Cet article examine les pratiques de sécurité pour le framework PHP Symfony, mettant en lumière les mécanismes de sécurité qu'il offre ainsi que les vulnérabilités potentielles qui peuvent survenir si ces protections sont contournées. Il aborde des attaques comme l'exploitation du profiler Symfony, la récupération de mots de passe et de secrets, et la prévention des attaques CSRF et SQL injection. L'importance de ne jamais activer le profiler en production et les meilleurs moyens de sécuriser les environnements de développement sont également discutés.

www.vaadata.com

symfonytwigphp
Sécurité

Git security vulnerabilities announced

Le projet Git a publié de nouvelles versions pour corriger deux vulnérabilités de sécurité, CVE-2024-50349 et CVE-2024-52006, qui affectent toutes les versions antérieures. La première vulnérabilité permet à un attaquant de tromper l'utilisateur pour qu'il fournisse de fausses informations d'identification. La seconde vulnérabilité concerne le protocole utilisé pour passer des informations entre Git et un gestionnaire de mots de passe, ce qui pourrait permettre à un attaquant de récupérer des mots de passe de manière abusive. Il est recommandé de mettre à jour vers la version 2.48.1 de Git pour se protéger contre ces failles.

github.blog

git
Sécurité

How to Detect Secrets? Tools and Techniques

Cet article fournit un guide sur les techniques et outils pour détecter les secrets lors de tests de pénétration, en détaillant des méthodes pour la phase de reconnaissance et les tests techniques. Il décrit l'importance des secrets comme les identifiants et les clés API, et met en avant des outils tels que Gitleaks et Trufflehog pour la détection dans des dépôts GitHub, ainsi que l'utilisation de moteurs de recherche pour identifier des fuites potentielles.

www.vaadata.com

osintbrute forcegithub