Cross Site Request Forgery est aussi connu sous l'abbréviation CSRF. Le CSRF exploite un site web pour lequel des commandes non autorisées sont transmises par un utilisateur en qui le site web à confiance...

Vous trouverez la suite de cet article sur http://prox-ia.blogspot.com/2009/10/cross-site-request-forgery-par-limage.html

Ce document s’adresse aux managers, décideurs et responsables métier qui sont en charge de la mise en place et/ou du maintien en condition opérationnelle d’un site Web Internet ou une application Web interne. Son but est de présenter les risques de sécurité propres aux technologies Web, et de décrire les bonnes pratiques en terme de gestion de projet informatique et de gestion de risques qui permettent, durant le cycle de développement et la vie de l’application, de maîtriser ces risques.

Le document est disponible à l'URL suivante :

http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf


A propos du CLUSIF:
Le CLUSIF est un club professionnel, constitué en association indépendante, ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d'activité de l'économie.

La finalité du CLUSIF est d'agir pour la sécurité de l'information, facteur de pérennité des entreprises et des collectivités publiques.
Il ...

Bonjour,

J'inaugure quelques articles sur les excuses trouvées pour ne pas passer à la réelle sécurité applicative.

Quelques questions :

- Nous externalisons le développement, la société développant est donc responsable de mettre en place un code sécurisé.
- On ne peut avoir d'intrusion car nos applications Web ne sont pas exposées sur Internet.
- Nous avons besoin de fonctionnalités, mais n'avons pas de budgets pour des fonctions comme celles demandées par la sécurité
- Il n'y a jamais eu de problèmes de sécurité dans le passé, il n'y aura donc pas de raison d'être attaqué dans le futur
- La Sécurité est un problème de technologie. Il y a des firewalls, la gestion des patchs et le SSL en place pour nous protéger.
- Pourquoi mettre de la sécurité dans le code, je dispose d'un Web Application Firewall (WAF)!


L'ensemble de ces points va évoluer et vous êtes bien sur, les bienvenus pour participer a la réflexion ! N'hésitez pas à poster des "excuses" que l'on vous donne, et je tenterai d'y répondre ...

Dans cet article nous allons voir comment créer des PDFs malveillants en utilisant Origami. Origami est un ensemble d'outils en Ruby permettant d'analyser et de forger des documents PDF.

La vidéo ci-dessous décrit succintement comment utiliser Origami pour forger un PDF malveillant
...

Vous trouverez la suite de cet article sur:

http://prox-ia.blogspot.com/2009/09/forger-des-pdfs-malveillants-avec.html

Les applications Web sont de plus en plus la cible d'attaques.
Le WAF (Firewall Applicatif Web) permet de faire face à ces menaces.

Mais qu'est-ce qu?un WAF ?

Quelles sont les différences entre un Firewall réseau et un WAF ?

Quels sont les cibles et les impacts des attaques Web ?

Pourquoi un WAF est maintenant un élément indispensable dans mon infrastructure ?

Ces questions (et d'autres) sont abordées ici : http://johanne.ulloa.org/pourquoi-un-waf.html

Je vous invite à découvrir les livres blancs Oracle sur le site Le Monde Informatique. Wikis et applications collaboratives en entreprise, les clés de réussite de l’entreprise 2.0, la gestion de contenu et les systèmes d’archivage, les solutions Oracle dans un univers Microsoft… figurent parmi les thématiques des 12 livres blancs Oracle en téléchargement gratuit ici http://www.lemondeinformatique.fr/oracle/?utm_source=kj&utm_medium=viadeo&utm_campaign=juin_oracle&utm_nooverride=1

Voici la liste détaillée des livres blancs en téléchargement sur Le Monde Informatique :
- Wikis professionnels pour l’intervention en entreprise
- Gestion de contenu (ECM) : contenir le flux d’informations dans l’entreprise
- Gestion des informations ECS : système de gestion des documents, groupware and co
- Get More from Microsoft Sharpoint with Oracle Fusion Middleware
- Information Workplace Plarforms : Oracle Vs Microsoft
- Total Economic ImpactTM of Oracle Universal Content Management
- Le Web 2.0 pour l’entreprise : ...

Vous connaissez tous Webgoat, le site web permettant de faire des tests de pénétration fournit par l'OWASP.

Et vous savez également tous que les solutions des exercices de pénétration proposés par Webgoat se trouvent à l'adresse suivante: http://yehg.net/lab/pr0js/training/webgoat.php

Et comme moi, il ne vous a pas échappé que certains exercices n'étaient pas corrigés. C'est en particulier le cas du challenge proposé par Webgoat 5.2.

C'est pourquoi je vous propose de vous donner la solution du challenge avec l'aide d'une vidéo...

Vous trouverez la suite de cet article sur http://prox-ia.blogspot.com/2009/05/challenge-webgoat-52-la-solution-en.html

Bonjour,

Connaissez vous des partenaire Français de breach ou des implémentation en france de WebDefend ou du M1100.

Je vous remercie de vos réponses.

Alexis Tondelier.