Sécurité

Sécurité

WebAuthn : se débarrasser des mots de passe. Définitivement. - API Platform Conference

L'article discute de l'importance de se débarrasser des mots de passe pour améliorer la sécurité des applications web, en mettant en avant l'utilisation de WebAuthn. Ce protocole permet une authentification via des interactions simples comme la biométrie, offrant des solutions plus sécurisées contre les menaces d'authentification. L'implémentation est présentée comme étant accessible tant côté backend que frontend.

api-platform.com

apiphpwebauthn
Sécurité

Cloud Nord 2024 : on y était ! | Les-Tilleuls.coop

Lors de Cloud Nord 2024, les intervenants ont discuté des grands principes de l'intelligence artificielle (IA) ainsi que des défis et opportunités qu'elle représente pour les entreprises. Manuel Davy a souligné la faiblesse de l'IA dans certains aspects de la pensée humaine tout en démontrant ses avantages, notamment dans le domaine médical et l'efficacité organisationnelle. Christophe Cantella et Vincent Behar ont présenté Talos Linux, un système d'exploitation pour Kubernetes conçu pour offrir des clusters sur des machines classiques. Un atelier a également mis en évidence les failles de sécurité dans Kubernetes, abordant les bonnes pratiques à adopter pour sécuriser les applications et éviter des vulnérabilités critiques.

les-tilleuls.coop

kubernetesiatalos linux
Sécurité

What is a Race Condition? Exploitations and Security Best Practices

Cet article aborde les attaques par condition de course, expliquant leurs principes, techniques d'exploitation et meilleures pratiques de sécurité. Ces attaques exploitent le temps de traitement par un serveur, permettant à un attaquant de provoquer un état inattendu en envoyant plusieurs requêtes simultanément. En détaillant des exemples comme la publication de commentaires sur un site e-commerce, il démontre comment une faille TOCTOU peut être exploitée. L'article fournit également des informations sur des techniques d'attaque comme le 'last-byte sync' et le 'single-packet attack', et illustre comment ces méthodes peuvent être appliquées lors de tests de pénétration.

www.vaadata.com

http/2tcphttp/1.1
Sécurité

Git : How to smudge and clean ? - slash-root.fr

Cet article explique comment gérer la sécurité des fichiers sensibles dans un dépôt Git en utilisant les commandes 'smudge' et 'clean'. Il s'appuie sur l'expérience d'un développeur ayant exposé sa clé API par erreur et détaille comment mettre en place des filtres pour éviter que des informations sensibles ne soient jamais publiées dans le dépôt tout en permettant une collaboration sécurisée avec d'autres développeurs.

slash-root.fr

gitdockerpython
Sécurité

Écrire des Scripts Shell Sécurisés

Cet article met en lumière les risques de sécurité associés aux scripts Bash mal conçus, soulignant les problèmes tels que l'injection de commandes, la gestion des variables, et l'importance de la validation des entrées utilisateur. Il fournit également des recommandations pratiques pour écrire des scripts Shell sécurisés, notamment l'utilisation de chemins absolus et la mise en œuvre d'un shebang explicite.

blog.stephane-robert.info

shell scriptingbash
Sécurité

Bypassing Whitelists With XSS Payloads in Attributes

Cet article explore les scénarios d'attaque XSS où des filtres de type whitelist, comme ceux utilisés par WordPress (wp_kses), peuvent être contournés. Malgré la robustesse de wp_kses contre l'injection de scripts, l'article montre qu'il est possible d'injecter des éléments HTML, comme les balises <svg> et des payloads, en utilisant des techniques astucieuses et en manipulant les attributs d'éléments HTML. Une démonstration et des exemples de payloads sont fournis, mettant en lumière les vulnérabilités potentielles dans les filtres de sécurité et les applications web.

brutelogic.com.br

xsswp_kseswaf
Sécurité

Discover Security Advisories with Composer’s audit command

Octobre est le mois de la sensibilisation à la cybersécurité. L'article aborde l'importance des pratiques de sécurité comme l'utilisation de mots de passe forts et l'authentification à facteurs multiples. Il évoque aussi des outils de la communauté PHP, notamment Composer, pour gérer les vulnérabilités dans les dépendances, par le biais de la commande audit qui signale les avis de sécurité pour les paquets installés. Cela aide les développeurs à intégrer ces pratiques essentielles à leur processus de développement tout en réduisant les risques liés aux vulnérabilités connues.

blog.packagist.com

packagistcomposerphp
Sécurité

Subdomain Enumeration Techniques and Tools

Cet article aborde diverses techniques d'énumération de sous-domaines utilisées pour identifier la surface d'attaque d'un domaine. Il décrit des méthodes d'énumération passives et actives, telles que l'énumération manuelle, l'utilisation de moteurs de recherche, et le bruteforcing. Des outils comme 'puredns' et 'dnsx' sont mentionnés pour valider les sous-domaines. Des méthodes pour détecter les certificats de sécurité et utiliser des ressources en ligne pour obtenir des informations supplémentaires sur les sous-domaines sont également expliquées.

www.vaadata.com

dnshttprfc 9162
Sécurité

Cloudflare: How to Secure Your Origin Server?

Cet article propose un guide complet pour sécuriser un serveur d'origine en utilisant Cloudflare, en explorant diverses configurations telles que la validation des adresses IP de Cloudflare et l'authentification mTLS. Il souligne également quelques vulnérabilités possibles, telles que les attaques XSS, et présente des techniques pour contourner ces protections. Les développeurs sont encouragés à voir Cloudflare comme une couche de sécurité supplémentaire, tout en veillant à configurer correctement leur serveur pour en maximiser l'efficacité.

www.vaadata.com

cloudflarephpmtls