Sécurité

"
Sécurité

Versioning npm sécurisé : Guide pratique package.json

Cet article traite des bonnes pratiques de versioning pour sécuriser les dépendances dans les projets npm, en réponse aux vulnérabilités récentes. Il met l'accent sur l'importance de verrouiller les versions des packages critiques et de committer les lock files pour éviter des installations de versions différentes en production. Des méthodologies pour maintenir un projet npm sécurisé sont proposées, ainsi qu'un audit régulier des vulnérabilités et une mise à jour contrôlée des dépendances.

loud-technology.com

npmci/cdjavascript
Sécurité

GCP Penetration Testing: Methodology and Use Cases

Cet article présente une méthodologie de test de pénétration pour l'infrastructure GCP (Google Cloud Platform) et les applications web déployées, en identifiant les vulnérabilités et en renforçant la résilience. Il décrit les différents tests réalisés, y compris l'analyse des buckets de stockage Google, l'exploitation des serveurs de métadonnées et l'importance des comptes de service. Les scénarios courants et les approches spécifiques sont abordés pour aider à une évaluation complète de la sécurité dans cet écosystème riche.

www.vaadata.com

gcpservice accountscloud storage
Sécurité

What is CRLF Injection? Exploitations and Security Tips

Les injections CRLF représentent une vulnérabilité souvent sous-estimée, consistant à insérer des caractères de contrôle de fin de ligne dans les requêtes ou réponses. Cela peut entraîner des fuites d'informations sensibles et compromettre la fiabilité d'un système. Cet article examine cette vulnérabilité en détail, notamment ses différents types d'exploitation, tels que les injections de headers SMTP, les injections dans les logs et les attaques XSS. Des pratiques de sécurité pour se protéger contre ces failles sont également abordées.

www.vaadata.com

crlfxsssmtp
Sécurité

Anatomy of a Billion-Download NPM Supply-Chain Attack

Un grave cyberattaque de chaîne d'approvisionnement a eu lieu, impactant plusieurs bibliothèques NPM, y compris des éléments fondamentaux des arbres de dépendance. L'attaque utilise des techniques de troc d'adresses et de détournement de transactions pour voler des fonds. Bien que certaines versions compromises soient retirées de NPM, il est essentiel d'auditer les projets et d'utiliser des remplacements dans le fichier package.json pour se protéger. Une vigilance constante et le renforcement des pipelines CI/CD sont cruciaux pour se défendre contre ces menaces.

jdstaerk.substack.com

npmjavascriptblockchain
"
Sécurité

NetExec, the Tool for Auditing an Internal Network

L'article présente NetExec, un outil conçu pour faciliter l'audit des réseaux internes. Il décrit son fonctionnement, les protocoles pris en charge tels que LDAP et WMI, ainsi que ses techniques d'audit en boîte noire et en boîte grise. NetExec peut interagir avec différents systèmes d'authentification et exécuter des commandes à distance. Les fonctionnalités incluent la gestion des fichiers à distance, l'extraction de secrets et l'exécution de code à distance. Il est essentiel pour analyser et exploiter la surface d'attaque des réseaux internes.

www.vaadata.com

netexecwmildap
Sécurité

Your Patched Sitecore Site Isn’t Safe

Un article explique comment des hackers exploitent deux vulnérabilités dans la plateforme Sitecore pour injecter du code malveillant dans les pages mises en cache, permettant ainsi de voler des données des visiteurs sans que l'administrateur ne s'en rende compte. Cette situation met en danger de nombreuses organisations en les rendant vulnérables à des attaques de type skimming ou malware, malgré la mise à jour des systèmes.

medium.com

cdnremote code executionsitecore
Sécurité

“We’re Secure,” They Said: How Penetration Testing Shattered the Illusion

Cet article explore les illusions de sécurité que les entreprises peuvent avoir concernant leur cybersécurité, illustré par une expérience de test de pénétration. Un CTO sûr de ses millions investis en sécurité est confronté à la découverte de vulnérabilités majeures, démontrant que même les défenses jugées robustes peuvent être contournées. Cela met en évidence l'importance des tests de pénétration pour identifier des failles que les audits classiques peuvent négliger.

medium.com

firewallssiemedr
Sécurité

How we accelerated Secret Protection engineering with Copilot

L'article décrit comment GitHub a intégré l'intelligence artificielle, notamment à travers Copilot, pour améliorer la validation des secrets et accélérer le processus de développement. Des fonctionnalités telles que la protection des secrets, les vérifications de validité et l'automatisation des workflows ont permis de réduire le temps nécessaire à l'intégration de nouveaux types de jetons tout en garantissant la sécurité des informations sensibles dans le code. Copilot a ainsi servi de multiplicateur de force, permettant un grand nombre d'améliorations en peu de temps.

github.blog

githubapiai
Sécurité

6 Best Udemy Courses to Learn Kali Linux in 2025

Cet article présente une sélection des six meilleurs cours Udemy pour apprendre Kali Linux en 2025, orientés vers le test de pénétration et la cybersécurité. Kali Linux est décrit comme le système d'exploitation incontournable pour les professionnels de la sécurité, avec de nombreux outils préinstallés. Les cours recommandés vont des bootcamps d'introduction à des formations avancées, proposant des expériences pratiques en matière de hacking éthique et d'utilisation des outils de Kali. Ces cours sont adaptés pour ceux qui souhaitent se lancer dans une carrière en cybersécurité ou approfondir leurs connaissances dans ce domaine en pleine évolution.

medium.com

kali linuxpenetration testingethical hacking
Sécurité

5 Best Books to Learn Cyber Security in 2025

Cet article propose une liste des cinq meilleurs livres pour apprendre la cybersécurité en 2025, adaptés aux débutants comme aux professionnels expérimentés. Il couvre des outils importants tels que Metasploit et Kali Linux, ainsi que des concepts essentiels comme la sécurité des applications web et la protection des données personnelles. Chacun des livres recommandés aborde des techniques variées, allant de l'exploitation des vulnérabilités à la compréhension de l'état d'esprit des hackers, offrant ainsi une base solide pour toute personne souhaitant se former dans le domaine de la cybersécurité.

medium.com

cybersecurityethical hackingpenetration testing