Sécurité

Sécurité

Frida, the Tool Dedicated to Mobile Application Security

Les applications mobiles sont omniprésentes mais exposent les utilisateurs à des risques de sécurité. Frida est un outil open source permettant aux pentesters de tester la robustesse des applications mobiles. Cet article présente Frida, ses caractéristiques, son installation et son utilisation lors de tests de pénétration mobile, en se concentrant sur ses outils et fonctionnalités clés, ainsi que sur la manière dont il permet d'interagir dynamiquement avec les applications grâce à des scripts JavaScript.

www.vaadata.com

fridajavascriptpython
Sécurité

Do not use secrets in environment variables and here's how to do it better

L'article met en lumière les dangers de stocker des secrets dans des variables d'environnement en expliquant plusieurs raisons et en proposant de meilleures pratiques pour la gestion des secrets. Les instances de non-sécurisation des secrets, comme les fuites d'informations et la difficulté de gestion au sein des systèmes distribués, illustrent pourquoi cette approche, bien qu'aisée, est risquée. Il propose également l'utilisation de services de gestion de secrets comme alternative plus sécurisée.

www.nodejs-security.com

vercelgithub actionsnode.js
Sécurité

What is Command Injection? Exploitations and Security Best Practices

Cet article traite des injections de commandes, une vulnérabilité critique en sécurité web permettant aux attaquants d'exécuter des commandes système arbitraires sur le serveur. Il explique comment ces injections se produisent, comment les identifier et les exploiter, notamment à travers des exemples en PHP. Des mesures de sécurité pour prévenir ces attaques sont également abordées, comme la validation des entrées utilisateur et les techniques de contournement des filtres. L'article met l'accent sur l'exploitation des injections de commandes à différer dans un contexte black box, ainsi que sur les tests hors bande et l'exfiltration de données via DNS.

www.vaadata.com

phplinuxdns
Sécurité

What is RFI? Remote File Inclusion Exploitations and Security Tips

Les vulnérabilités de Remote File Inclusion (RFI) sont une menace majeure pour les applications web modernes, permettant à un attaquant d'inclure et d'exécuter du code malveillant hébergé sur un serveur distant. Cet article explique les principes des RFI, leurs impacts potentiels, des scénarios d'exploitation, ainsi que des conseils pour prévenir de telles vulnérabilités, en mettant l'accent sur la nécessité d'une validation rigoureuse des entrées utilisateur.

www.vaadata.com

phphttpsécurité
Sécurité

Exploring Email Change Vulnerabilities and Security Best Practices

Cet article aborde l'importance de gérer la fonctionnalité de changement d'adresse email dans les applications web, tant pour les utilisateurs que pour les administrateurs. Il expose les meilleures pratiques de sécurité, y compris la validation de l'utilisateur via mot de passe ou code 2FA, ainsi que l'importance de vérifier que l'utilisateur modifie bien son propre compte. Des exemples de configurations erronées rencontrées lors d'audits indiquent les vulnérabilités potentielles et les scénarios d'attaques possibles qui peuvent survenir en cas de mauvaise gestion de ce processus.

www.vaadata.com

security practices2faemail validation
Sécurité

Introduction to Nuclei, an Open Source Vulnerability Scanner

L'article présente Nuclei, un scanner de vulnérabilités open source qui automatise la détection de failles dans les systèmes informatiques. Il met en avant les caractéristiques principales de Nuclei, sa flexibilité grâce à des modèles configurables en YAML, ainsi que sa capacité à effectuer des scans à grande échelle tout en optimisant le trafic réseau. Le texte évoque également l'importance de filtrer les modèles pour cibler efficacement les vulnérabilités spécifiques, et décrit comment configurer Nuclei pour répondre à divers besoins en matière de sécurité.

www.vaadata.com

nucleiyamlwappalyzer
Sécurité

What are IoT Attack Vectors and Security Challenges?

L'article aborde les défis de sécurité liés à l'IoT, mettant en évidence les vecteurs d'attaque potentiels tels que les interfaces web, les réseaux Wi-Fi, et les communications Bluetooth. Avec environ 15 milliards d'objets IoT en circulation, la nécessité de sécuriser ces dispositifs face à des vulnérabilités et des cyberattaques est essentielle. Les mesures de sécurité comme le chiffrement, la gestion rigoureuse des droits, et les tests de pénétration sont discutées pour limiter les risques associés à ces objets connectés.

www.vaadata.com

iothttpbluetooth
Sécurité

Security Audits: Objectives, Types and Methodologies

Cet article aborde l'importance croissante des audits de sécurité informatique en raison de l'augmentation des cyberattaques. Il présente différentes types d'audits, comme les audits organisationnels, de conformité et techniques, ainsi que leurs objectifs et méthodologies. Un audit de sécurité évalue l'état d'un système d'information pour identifier les vulnérabilités et propose des recommandations pour renforcer la protection des données. Il est essentiel pour garantir la disponibilité, l'intégrité et la confidentialité des informations tout en assurant la conformité avec les normes de sécurité.

www.vaadata.com

cybersecurityisosoc 2
Sécurité

What is Prototype Pollution? Exploitations and Security Tips

Les vulnérabilités de pollution de prototype sont spécifiques à JavaScript et peuvent être exploitées sur le serveur et le client. Elles permettent aux attaquants d'exécuter du code malveillant ou de voler des données. Cet article détaille les principes de ces vulnérabilités, les exploitations possibles, et les mesures préventives à mettre en place. Il met en lumière l'importance de comprendre comment les objets et prototypes fonctionnent en JavaScript pour prévenir de telles exploits.

www.vaadata.com

javascript
Sécurité

Phishing: Methodology, Common Techniques and Tools

Cet article explore le social engineering en mettant l'accent sur le phishing, en particulier les techniques de phishing par e-mail. Il présente trois outils comme Gophish, Evilginx et Evilgophish pour lancer des campagnes de phishing, ainsi que des méthodes telles que le clone phishing et le phishing Man in the Middle (MitM). Le texte explique le fonctionnement de ces approches, en mentionnant les défis liés à l'authentification à deux facteurs et la manière dont ces outils peuvent être utilisés pour compromettre un compte Dropbox. Une attention particulière est portée sur la différence entre phishing par e-mail et d'autres formes comme le smishing.

www.vaadata.com

phishingman in the middlegophish