www.vaadata.com

Sécurité

How to update passwords in database to secure their storage with Argon2?

Cet article explique comment mettre à jour le stockage des mots de passe dans une base de données en utilisant Argon2id, en tenant compte des recommandations de OWASP. Il aborde des scénarios courants comme le stockage en texte clair et les hachages inappropriés (md5, sha1, etc.), et fournit des exemples de code en PHP. L'auteur souligne l'importance de l'utilisation de mots de passe forts et de la conformité avec les réglementations sur le stockage des mots de passe.

www.vaadata.com

argon2bcryptphp
Sécurité

What is Session Hijacking? Types of attacks and exploitations

Cet article aborde les différents types d'attaques de détournement de session, telles que l'exploitation des vulnérabilités XSS, la fixation de session, et le contournement de l'authentification multi-facteurs. Il explique comment ces techniques permettent de voler des identifiants de session et d'accéder à des comptes utilisateurs sans avoir besoin de leurs mots de passe. Les implications de la gestion de session et de l'importance du chiffrement HTTPS sont également discutées.

www.vaadata.com

xssmfatls
Sécurité

OWASP Top 10 #1: Broken Access Control And Security Tips

L'OWASP (Open Web Application Security Project) est une organisation qui vise à améliorer la sécurité des applications en fournissant des guides et des outils. Cet article se penche sur la vulnérabilité de contrôle d'accès rompu, classée comme la plus critique dans la liste OWASP Top 10. Elle examine comment les attaquants exploitent les failles d'accès non contrôlé, notamment à travers des exemples de tests de pénétration. L'article définit également les différents types de contrôles d'accès et présente les meilleures pratiques pour sécuriser ces mécanismes, en mettant l'accent sur la conformité aux réglementations comme le RGPD.

www.vaadata.com

owaspidormass assignment
Sécurité

Exploiting an HTML injection with dangling markup

Cet article détaille une méthode d'exploitation d'une vulnérabilité d'injection HTML découverte lors d'un test de pénétration. En utilisant des liens magiques pour l'authentification par email, un attaquant peut introduire du code HTML dans les paramètres du lien, permettant d'exfiltrer des informations sensibles comme le jeton d'authentification. Les détails incluent des exemples de requêtes et les implications de cette méthode en contexte d'attaque. Cela met en lumière la nécessité de sécuriser les entrées utilisateur dans les systèmes d'authentification par email.

www.vaadata.com

htmlemailsecurity testing