L'article présente des bonnes pratiques pour sécuriser les infrastructures cloud privées et publiques en abordant des sujets comme la virtualisation avec KVM, le stockage sur Open ZFS, et l'utilisation d'outils de monitoring tels que Zabbix et Prometheus. Il détaille les aspects importants tels que les sauvegardes, la gestion des attaques et l'infrastructure logicielle, avec un accent sur la conformité de sécurité dans le cloud public.
Cet article aborde la sécurité des systèmes d'information, en mettant l'accent sur les mesures à mettre en place pour protéger les données de l'entreprise et garantir leur continuité de service. Il détaille les bonnes pratiques en matière de sécurité des accès, notamment à travers l'utilisation de protocoles comme SSH et des méthodes de sécurisation des serveurs et postes de travail, soulignant l'importance de l'implication de divers acteurs au sein de l'organisation.
Cet article met en évidence l'importance du paramètre 'kernel.secret' dans Symfony pour prévenir les attaques RCE via ESI. Il explique comment une valeur par défaut du secret peut être exploitée pour injecter du code malveillant. Caractéristiques techniques et recommandations pour sécuriser ce paramètre sont fournies.
L'article présente un bilan sur la sécurité des CMS en 2019, en analysant les failles observées sur WordPress, Drupal, Joomla, Typo3 et eZ Platform. Il aborde les vulnérabilités telles que l'injection SQL, le Cross-Site Scripting (XSS), et les menaces de type Cross-Site Request Forgery (CSRF). Des recommandations pour améliorer la sécurité des applications sont également mises en avant, avec un focus particulier sur l'utilisation d'ORM comme Doctrine et sur les pratiques sûres en développement web.
Cet article aborde les bonnes pratiques à suivre pour assurer la conformité d'un site internet au RGPD. Il souligne l'importance de l'obtention du consentement des utilisateurs pour le traitement de leurs données personnelles, décrit les obligations relatives à l'accès et à la suppression de ces données, et insiste sur la nécessité d'établir une page de politique de confidentialité. L'auteur évoque également la gestion des cookies et des outils d'analyse comme Google Analytics, tout en rappelant que le consentement doit être renouvelé régulièrement.
Le DevSecOps intègre la sécurité dans le cycle de vie des projets DevOps, répondant à des enjeux croissants de sécurité informatique. Il implique la formation des équipes, l'automatisation des analyses de code et la mise en place d'outils adaptés. Des solutions comme SonarQube et ZAP d'OWASP sont recommandées pour détecter les vulnérabilités. Ce processus est crucial pour lutter contre l'augmentation des attaques et garantir la sécurité des applications.
Les attaques de type Man in the Middle (MitM) exploitent des failles de configuration réseau pour intercepter et manipuler des communications entre un client et un serveur à leur insu. Cet article examine les techniques de MitM, dont l'ARP Poisoning et le DNS Spoofing, ainsi que les mesures de sécurité à mettre en place pour se protéger contre ces attaques. Des solutions comme l'utilisation de tables ARP statiques, l'implémentation de systèmes de détection d'intrusion, et le chiffrement des communications sont abordées pour contrer ces méthodes malveillantes.
Une vulnérabilité de sécurité a été identifiée dans Twig (versions < 3.11.2; >= 3.12,< 3.14.1) permettant à un attaquant d'accéder à des attributs d'objets de type tableau sans que la politique de sécurité soit vérifiée. Ce problème a été corrigé dans Twig 3.11.2 et 3.14.1, avec des ajustements pour renforcer la sécurité en mode sandbox.
Une vulnérabilité a été découverte dans Twig (versions <3.11.2; >=3.12,<3.14.1) permettant d'appeler des méthodes non autorisées sur des objets dans un contexte de sandbox. Cela se produit lorsque l'objet est inclus dans un tableau ou une liste d'arguments. La mise à jour vers Twig 3.11.2 ou 3.14.1 est nécessaire pour corriger ce problème de sécurité.
Cette conférence aborde la nécessité d'une authentification sécurisée dans un monde de données interconnectées. Avec l'utilisation d'OpenID Connect et d'OAuth, l'objectif est de faciliter la gestion des identités et l'accès aux applications tout en renforçant la sécurité, en évitant les multiples mots de passe et en protégeant la transit des données.
