Sécurité

Sécurité

Web Application Penetration Testing: Objective, Methodology, Black Box, Grey Box and White Box Tests

Cet article traite de l'importance des tests de pénétration des applications web pour évaluer leur sécurité. Il décrit les différences entre les tests de pénétration et les tests de vulnérabilité, ainsi que les méthodologies de test, y compris le test en boîte noire, boîte grise et boîte blanche. L'article aborde également les types de vulnérabilités à rechercher, comme les injections SQL et les erreurs de contrôle d'accès, et souligne l'importance de présenter un rapport détaillant les résultats des tests.

www.vaadata.com

owaspapissql
Sécurité

Security considerations when parsing user-provided INI strings and files

L'article discute des considérations de sécurité lors de l'analyse de chaînes et de fichiers INI fournis par l'utilisateur en PHP. Bien que les nouvelles fonctionnalités de PHP 8.3 facilitent la configuration via des variables d'environnement et des constantes PHP, elles peuvent aussi constituer une vulnérabilité si un fichier de configuration non fiable expose des données sensibles. L'article souligne que les fonctions d'analyse doivent passer un paramètre pour désactiver le traitement des types et des variables d'environnement afin de minimiser les risques.

php.watch

php
Sécurité

What is Mass Assignment? Attacks and Security Tips

Une vulnérabilité de Mass Assignment se produit lorsqu'un serveur associe directement les paramètres d'une requête HTTP sans les filtrer correctement, permettant ainsi à un attaquant d'ajouter des variables non prévues. Cela peut mener à des escalades de privilèges, comme observé sur Github en 2012. Identifier cette vulnérabilité est complexe; on peut utiliser des techniques de fuzzing ou d'introspection d'API pour tester des paramètres supplémentaires. Les impacts peuvent aller d'une simple modification à une escalade de privilèges, rendant cette vulnérabilité à prendre au sérieux.

www.vaadata.com

pentestingapigraphql
Sécurité

Data Encryption and Cryptographic Failures: OWASP Top 10 #2

Cet article traite des vulnérabilités courantes liées à l'absence ou au manque de chiffrement dans les applications, en se basant sur le cadre des 10 principales vulnérabilités du projet OWASP. Il explore des scénarios d'attaques et livre des pratiques recommandées pour assurer un chiffrement adéquat des données afin de prévenir les risques de compromission. Il est souligné que le chiffrement est essentiel pour garantir la confidentialité et l'intégrité des données, et on aborde les différentes méthodes de chiffrement, notamment par clé symétrique et asymétrique. Les risques d'exploitation liés à un chiffrement insuffisant, comme l'utilisation d'algorithmes obsolètes tels que MD5 pour le stockage de mots de passe, sont également discutés.

www.vaadata.com

cryptographyencryptionowasp
Sécurité

Packagist.org maintainer account takeover

Le 1er mai 2023, un attaquant a accédé à quatre comptes inactifs sur Packagist.org, modifiant les descriptions de plusieurs paquets tout en laissant les contenus originaux intacts. En réponse, Packagist.org a désactivé les comptes compromis et rétabli les URLs des paquets. Il est conseillé aux utilisateurs de ne pas réutiliser leurs mots de passe, d'activer l'authentification à deux facteurs et de vérifier les dépendances dans leurs fichiers de verrouillage. Des mesures de sécurité supplémentaires sont prévues pour améliorer la traçabilité des modifications sur les paquets.

blog.packagist.com

phpcomposer2fa
Sécurité

White box audit of a CI/CD pipeline on AWS

Cet article détaille une audit d'une pipeline CI/CD sur AWS, mettant en évidence comment un développeur avec un accès limité pourrait escalader ses privilèges pour accéder à des informations sensibles. Il aborde l'importance des bonnes pratiques concernant les variables dans GitLab et l'application du principe du moindre privilège dans la configuration IAM d'AWS pour protéger les informations sensibles. Des recommandations pratiques sont fournies pour sécuriser les variables d'environnementdans un contexte de développement CI/CD, de la gestion des accès à la prévention des fuites d'informations.

www.vaadata.com

gitlabkubernetesaws
Sécurité

How to update passwords in database to secure their storage with Argon2?

Cet article explique comment mettre à jour le stockage des mots de passe dans une base de données en utilisant Argon2id, en tenant compte des recommandations de OWASP. Il aborde des scénarios courants comme le stockage en texte clair et les hachages inappropriés (md5, sha1, etc.), et fournit des exemples de code en PHP. L'auteur souligne l'importance de l'utilisation de mots de passe forts et de la conformité avec les réglementations sur le stockage des mots de passe.

www.vaadata.com

argon2bcryptphp
Sécurité

What is Session Hijacking? Types of attacks and exploitations

Cet article aborde les différents types d'attaques de détournement de session, telles que l'exploitation des vulnérabilités XSS, la fixation de session, et le contournement de l'authentification multi-facteurs. Il explique comment ces techniques permettent de voler des identifiants de session et d'accéder à des comptes utilisateurs sans avoir besoin de leurs mots de passe. Les implications de la gestion de session et de l'importance du chiffrement HTTPS sont également discutées.

www.vaadata.com

tlsmfaxss
Sécurité

OWASP Top 10 #1: Broken Access Control And Security Tips

L'OWASP (Open Web Application Security Project) est une organisation qui vise à améliorer la sécurité des applications en fournissant des guides et des outils. Cet article se penche sur la vulnérabilité de contrôle d'accès rompu, classée comme la plus critique dans la liste OWASP Top 10. Elle examine comment les attaquants exploitent les failles d'accès non contrôlé, notamment à travers des exemples de tests de pénétration. L'article définit également les différents types de contrôles d'accès et présente les meilleures pratiques pour sécuriser ces mécanismes, en mettant l'accent sur la conformité aux réglementations comme le RGPD.

www.vaadata.com

owaspidormass assignment