Secure Software Development Life Cycle (SSDLC)

Le cycle de de vie du développement d’un application est l’ensemble des étapes de réalisation d’un logiciel dans le but de construire un produit de qualité. L’intégration de la sécurité dans le SDLC intervient à chaque étape de celui-ci et se matérialise de plusieurs manières (threat modeling, review, SAST, DAST, etc.). Ci-dessous, une liste non-exhaustive d’actions à mener au sein du SDLC pour délivrer une application sécurisée. Ma présentation sur SlideShare : Secure Software Development Life Cycle (SSDLC) continuer la lecture

Surveiller vos dépendances avec Dependency Check de l'OWASP

Selon le Gartner, dans une application, 80% du code est fourni par des dépendances (spring, ORM, parsing de XML/JSON, etc.). Sur 95% des applications qui contiennent des dépendances opensource, 65% contiennent des dépendances vulnérables. Malheureusement, lorsqu’une dépendance est installée pour un besoin spécifique, le suivi est rarement fait pour se tenir à jour des nouvelles versions et encore moins des vulnérabilités qui pouvant l’affecter. Dependency Check L’OWASP propose un outil nommé Dependency Check permettant de lister et vérifier automatiquement pour toutes les dépendances d’une application si une CVE (Common Vulnerabilities and Exposures) a été publiée pour la version utilisée. continuer la lecture

Retour sur l'AWS Summit Paris du 27 juin 2017

Le 27 juin dernier s’est déroulé l’AWS Summit 2017 d’Amazon à Paris dédié à la présentation des services AWS et aux retours d’expériences de différents clients sur l’utilisation de ces services. Voici des notes sur quelques-unes des sessions présentées. Keynote Vidéo : https://www.youtube.com/watch?v=Fn5jpD_Utn4 Mise en avant Clients d’AWS mis en avant : Société Générale, Danone, Veolia, Engie 80% des entreprises du CAC40 utiliseraient AWS * L’ouverture d’un datacenter en France est toujours prévu pour la fin 2017 Retour d’expérience Radio France Suite aux attentats de Charlie Hebdo, l’infrastructure en place n’a pas supporté le trafic et les services ont été dégradés pendant 3 semaines continuer la lecture

Scanner les vulnérabilités d'un site web avec Arachni

Arachni est un scanneur de vulnérabilités web écrit en Ruby (cross-plateforme) par Tasos Laskos et permettant d’automatiser la détection d’un grand nombre de failles (XSS, SQL Injection, Local File Injection, Remote File Injection, etc.). Il est disponible sous la forme d’une interface web, une application console et une API REST. Types de scans Arachni permet de faire des scans actifs ou passifs. Scans actifs Ils testent la présence de failles sur les pages web visitées, par exemple : continuer la lecture

Retours sur le livre surveillance:// de Tristan Nitot

Dans un monde ou internet est omniprésent, les smartphones sont devenus des objets utilisés à outrance, le nombre d’objets connectés augmentent et ou les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) nous connaissent mieux que nous même, la question de la protection de la vie privée est de plus présente dans les esprits. Je suis gêné quand Google lit mes emails lorsque je réserve un hotel ou un avion et me propose les informations sur le terminal de l’aéroport ou l’heure à laquelle je dois partir de chez moi pour ne pas rater mon vol. continuer la lecture

Principe et implémentation de HSTS (HTTP Strict Transport Security)

HTTPS est devenu quasiment obligatoire sur tous les sites web et particulièrement sur ceux contenant des formulaires. Même si ce n’est pour le moment qu’une indication non bloquante, Firefox émet une erreur lors de la visite d’une page non sécurisée contenant des formulaires (en savoir plus). Pour rappel, la mise en place du protocole HTTPS est maintenant facilitée par l’initiative Let’s Encrypt. Problématique Traditionnellement, sur un site web implémentant HTTPS, un utilisateur qui souhaite accéder à la version HTTP est redirigé via une HTTP 301 sur la version HTTPS : continuer la lecture

Se protéger des failles XSS avec les headers CSP (Content Security Policy)

Les failles XSS (Cross-Site Scripting), étant classées en troisième position du dernier TOP 10 de l’OWASP, sont une porte d’entrée dans les systèmes d’information (scan de ports, exploits, etc.) et une menace pour les utilisateurs (vol d’information d’identifications). Les traditionnelles contre mesures mises en place sont le filtrage des données entrantes sur le serveur (input filtering) et l’encodage des données sortantes (output encoding) afin d’éviter l’exécution de scripts malveillants sur les postes clients. continuer la lecture

ASCII Folding dans Elasticsearch et appel de _analyze

Dans Elasticsearch, pour une faire une recherche sur un mot contenant un caractère unicode non présent dans la table ASCII (un accent par exemple) sans avoir à rechercher spécifiquement le mot avec ce caractère, une phase d’ASCII folding est nécessaire pour convertir ces caractères unicodes en leurs équivalents ASCII (si possible). Par exemple “ê” devient “e”. Pour réaliser cette étape, le mapping du champ contenant ces caractères doit spécifier le filtre “asciifolding” fourni nativement par le moteur Elasticsearch. continuer la lecture

Backbone, Node.Js et SEO

Les frameworks javascript du type Backbone.js ou Angular.js sont en plein essor et permettent de construire rapidement et proprement des applications dites Single page application. Ce type d’application permet principalement d’améliorer l’expérience de vos utilisateurs. Lorsque l’utilisateur souhaite accéder à l’application, il envoie une requête sur un serveur web, qui lui répond par une page HTML classique. Cette page fait référence aux fichiers javascript de Backbone, underscore.js, jquery et le javascript contenant la logique de l’application basée sur Backbone. continuer la lecture

Feedbacks sur la garantie de la Surface RT

Depuis novembre 2012, j’ai une Surface RT de 32Go que j’utilise pour aller sur internet, mail, news, etc. Tout fonctionnait très bien jusqu’à la semaine derrière où une tâche jaunâtre est apparue dans la partie inferieure droite de l’écran (à côté du connecteur pour le chargeur). Après quelques recherches sur mon moteur de recherche préféré, je constate que je ne suis pas le seul à avoir ce soucis (exemple ici). Certaines personnes ont constaté ce problème dès la réception de la Surface alors que d’autres comme moi seulement après plusieurs mois. continuer la lecture