XSS, CORS, CSRF (Partie 2)

    XSS et vol de cookies par la pratique.

    Vous reprendrez bien un cookie ?

    Dans le premier volet de notre saga, nous traitions des attaques XSS et des moyens de s’en prémunir. Ces vulnérabilités peuvent être utilisées pour voler vos informations de session ou vous rediriger vers un site frauduleux. Vous vous dîtes sûrement : “ok coco en théorie c’est bien sympa tout ça, mais en quoi consiste le vol d’une session, quelles informations sont envoyées et où part la requête ?”.

    Read more ...

    XSS, CORS, CSRF (Partie 1)

    Le XSS, CORS, CSRF… Késako?

    Que se cache-t-il derrière ces acronymes barbares ?

    Bienvenue dans cette saga qui traitera des notions de XSS, CORS, CSRF et du lien entre elles.
    Vous en avez forcément entendu parler si vous avez été impliqués dans la création d’applications WEB. L’idée de cet article m’est venue suite à la création d’une application WEB “cas d’école” en Java https://github.com/phackt/DemoWebApp. La question que nous nous posons est la suivante : quelles sont les bonnes pratiques pour sécuriser une application WEB ?

    Read more ...

    Introduction au SIEM

    SIEM, le monitoring de la sécurité

    Nous avons vu dans un précédent article quel était le contexte réglementaire de la Loi de Programmation Militaire française.

    Que dites-vous d’une petite révision ?

    La LPM impose aux OIV (Opérateurs d’Importance Vitale) de renforcer la sécurité des systèmes d’information critiques qu’ils exploitent et de notifier les incidents de sécurité à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
    Une première vague d’arrêtés a été publiée le 1er juillet 2016. Ces arrêtés concernent les secteurs d’activité des produits de santé, la gestion de l’eau et l’alimentation. Plusieurs autres arrêtés, concernant d’autres secteurs d’activité, devraient paraître d’ici la fin de cette année.

    Read more ...

    Introduction à la cybersécurité

    Cybersécurité, un enjeu bien réel.

    Quels sont ses objectifs et pourquoi manifeste-t-on aujourd’hui un tel engouement pour ce secteur ?

    Il y a quelques années, les entreprises restaient frileuses à investir dans ce secteur : pour quel retour sur investissement se disaient-elles ? Le secteur était de niche, les formations diplômantes en sécurité informatique n’étant également pas légion. Aujourd’hui nous pouvons trouver pléthore de ces formations, mastères, certifications (CEH, CISSP, CISO, …).

    Read more ...