fr en

Scanner les vulnérabilités d'un site web avec Arachni

2016-11-14 4 Min. lecture Cybersécurité Aymeric
Arachni est un scanneur de vulnérabilités web écrit en Ruby (cross-plateforme) par Tasos Laskos et permettant d’automatiser la détection d’un grand nombre de failles (XSS, SQL Injection, Local File Injection, Remote File Injection, etc.). Il est disponible sous la forme d’une interface web, une application console et une API REST. Types de scans Arachni permet de faire des scans actifs ou passifs. Scans actifs Ils testent la présence de failles sur les pages web visitées, par exemple : continuer la lecture

Principe et implémentation de HSTS (HTTP Strict Transport Security)

2016-10-09 3 Min. lecture Cybersécurité Aymeric
HTTPS est devenu quasiment obligatoire sur tous les sites web et particulièrement sur ceux contenant des formulaires. Même si ce n’est pour le moment qu’une indication non bloquante, Firefox émet une erreur lors de la visite d’une page non sécurisée contenant des formulaires (en savoir plus). Pour rappel, la mise en place du protocole HTTPS est maintenant facilitée par l’initiative Let’s Encrypt. Problématique Traditionnellement, sur un site web implémentant HTTPS, un utilisateur qui souhaite accéder à la version HTTP est redirigé via une HTTP 301 sur la version HTTPS : continuer la lecture

Se protéger des failles XSS avec les headers CSP (Content Security Policy)

2016-06-30 4 Min. lecture Cybersécurité Aymeric
Les failles XSS (Cross-Site Scripting), étant classées en troisième position du dernier TOP 10 de l’OWASP, sont une porte d’entrée dans les systèmes d’information (scan de ports, exploits, etc.) et une menace pour les utilisateurs (vol d’information d’identifications). Les traditionnelles contre mesures mises en place sont le filtrage des données entrantes sur le serveur (input filtering) et l’encodage des données sortantes (output encoding) afin d’éviter l’exécution de scripts malveillants sur les postes clients. continuer la lecture
messages plus récents