Retour sur la vulnérabilité Serialization de Java

Nous allons ici essayé de faire un retour sur cette vulnérabilité qui n’a pas fait surement assez de bruit. Elle a donné quand meme donné lui à un CVE de la part d’Oracle (CVE-2015-4852). Quand on connait Oracle et la sécurité, on peut se dire que cela doit être grave 🙂 Avant d’aborder la vulnérabilité … Lire la suite de Retour sur la vulnérabilité Serialization de Java

La sécurité Web, vue via les entêtes du navigateur – Episode 2 – L’entete X-Content-Type-Options

Suite des épisodes sur les entêtes intéressantes à rajouter à vos applications, Web. Aujourd’hui nous allons parler de X-Content-Type-Options Toute page envoyée depuis un serveur vers un client Web, doit convertir ses données dans le bon type MIME. Ce type MIME est normalement associé à une entête technique nommée content-type décrivant le type de données renvoyées … Lire la suite de La sécurité Web, vue via les entêtes du navigateur – Episode 2 – L’entete X-Content-Type-Options

La sécurité Web, vue via les entêtes du navigateur – Episode 1 – Le Content-Security Policy

Pour lutter contre l'insécurité du Web il est répété régulièrement de ne pas faire confiance au contenu venant des navigateurs. Mais il n'est jamais dit que le navigateur ne peut être d'une certaine utilité dans cette lutte. Dans cette lutte implacable, Madame Michu dispose d'un navigateur qu'elle a téléchargée sur Internet, ou qui lui a … Lire la suite de La sécurité Web, vue via les entêtes du navigateur – Episode 1 – Le Content-Security Policy

Le développeur nouvelle génération ?

Ce matin je suis tombé sur un lien intéressant parlant de copier/coller dans un terminal. Ce lien m a inspiré le billet que voilà. Tout développeur normalement constitué connait bien le fameux site :stackoverflow et pastebin. En effet ces deux sites sont régulièrement utilisés pour résoudre des problèmes que vous avez. J avais effectué il y a deux ans … Lire la suite de Le développeur nouvelle génération ?

De la transparence en sécurité….

Si vous suivez l'actualité correctement vous avez surement vu que L'état américain du Massachusetts publie les breches de données . Chose très intéressante, pour les statistiques ,mais a mon sens aussi pour faire avancer le schmilblick ou le serpent de mer de la sécurité. En effet, nos amis américains ont depuis très longtemps l'obligation de … Lire la suite de De la transparence en sécurité….

CSRF demystifié et enfin réglé !

Dans le numéro 200 de LinuxMag, vous trouverez un article a la fin sur le CSRF et comment enfin régler le sujet sur l'ensemble de vos plateformes; que cela soit via l'infrastructure ou dans le code. A force de voir lors de pentests/audit de code ce type de vulnérabilité qui ressort et qui est parfois … Lire la suite de CSRF demystifié et enfin réglé !