DOM Snitch : une extension de Google Chrome pour traquer les failles du code JavaScript, par détection heuristique. « DOM Snitch » est une nouvelle extension open source pour Chrome, destinée à aider les développeurs, testeurs et chercheurs en sécurité à débusquer les failles du code client des sites et applications Web. Cette extension développée par Google permet comme son nom l'indique, de suivre en temps réel l'évolution du DOM des pages Web (Document Object Model), sous l'action des différents scripts qui s'y exécutent. La fonctionnalité clé et le principal intérêt de Snitch résident dans ses capacités avancées de détection heuristique des failles, qui lui permettent de ressortir automatiquement les imperfections et les marquer comme de sérieuses menaces ou de simples avertissements.
L'extension analyse le JavaScript sur 18 modules distincts et génère des logs en temps réel, distingués en quatre couleurs : le gris pour les modifications dupliquées, le vert pour les problèmes mineurs, le jaune pour les menaces potentielles plus sérieuses et enfin le rouge pour les failles dangereuses et avérées. La sécurité du web passera-t-elle par vous ? : Ergonomie Web, Expérience Utilisateur et Ruby On Rails. Cet article est la traduction de l’article Web Security: Are You Part Of The Problem? Écrit par Chris Heilmann et initialement publié dans Smashing Magazine. La sécurité des sites web est un sujet des plus critiques, qui devrait concerner toute personne présente sur le web. Une sécurité défaillante conduit généralement à tout ce que nous haïssons sur le web : le spam, les virus, et l’usurpation d’identité, pour ne citer que ceux là.
Le problème avec la sécurité sur le web, c’est qu’elle est aussi complexe à mettre en oeuvre qu’elle est importante. Je suis persuadé que certains d’entre-vous font déjà partie à votre insu d’un réseau de piratage informatique, ou que votre serveur envoie du spam sans que vous n’en sachiez rien. Il faut dire que les experts en sécurité n’aiment parler ni de ce qu’ils font, ni des causes aux problèmes ; ils peuvent également être particulièrement arrogants quand ils exposent leur point de vue. Quelques chiffres intéressants sur la sécurité web SQL Injection. Ssh tricks - the usual and beyond. The basics: Password-less login: This is usually the first thing start doing when want automation with ssh $ ssh-keygen -t dsa Generating public/private dsa key pair.
Enter file in which to save the key (/Users/patrick/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /Users/patrick/.ssh/id_dsa. Your public key has been saved in /Users/patrick/.ssh/id_dsa.pub. The key fingerprint is: 87:66:b7:a0:f6:0e:6a:71:2c:5d:ee:5f:17:2a:b7:2f patrick@localhost The key's randomart image is:+--[ DSA 1024]----+| || || || .. || o oS o . || o ++.+ . . . || ++. o + . || .o o.
+Eo || .. .o.. .o. |+-----------------+$ cat ~/.ssh/id_dsa.pub | ssh user@remotehost "cat - >> ~/.ssh/authorized_keys"$ ssh user@remotehost Install your keys on a remote server: $ ssh-copy-id -i ~/.ssh/id_dsa.pub user@remotehost $ cat ~/.ssh/id_dsa.pub | ssh user@remotehost "cat - >> ~/.ssh/authorized_keys" Passphrase automation: Pseudo Terminal : Avoid lastlog:
HTML Purifier - Filter your HTML the standards-compliant way! Le Top 25 des erreurs de programmation les plus dangereuses, d'après SANS et MITRE. Developpement web : Généralités sur la sécurité - Club des décid. 3 commentaires Phishing, vol d'identité, de coordonnées bancaires, sont autant de problème de sécurité qui émergent de nos jours.
Nous utilisons tous Internet tous les jours, et celui-ci est devenu vecteur d'attaques très modernes, visant le plus souvent à soutirer de l'argent, des informations (très) personnelles , ou se faire passer pour quelqu'un d'autre; et ceci sans jamais qu'on puisse s'en apercevoir, à notre insu complètement. La sécurité web affecte aussi la renommée d'une entreprise et peut faire tomber son économie; si bien que la sécurité d'un site Internet est devenue un métier à part entière.
Nous allons voir les grands points, concernant la sécurité, à garder en tête dans le cadre du développement d'une application web, car on ne peut développer sans en tenir compte, et ceci implique des connaissances profondes du fonctionnement d'Internet en général, et d'une application web. Lire l'article. Article lu 3555 fois. Copyright © 2007 Julien Pauli. OWASP Project. SkipfishDoc - skipfish - Project documentation - Project Hosting on Google Code. Written and maintained by: <Michal Zalewski>, <Niels Heinen> and <Sebastian Roschke> Copyright 2009 - 2012 Google Inc, rights reserved.
Released under terms and conditions of the Apache License, version 2.0. What is skipfish? Skipfish is an active web application security reconnaissance tool. It prepares an interactive sitemap for the targeted site by carrying out a recursive crawl and dictionary-based probes. The resulting map is then annotated with the output from a number of active (but hopefully non-disruptive) security checks. Why should I bother with this particular tool? A number of commercial and open source tools with analogous functionality is readily available (e.g., Nikto, Websecurify, Netsparker, w3af, Arachni); stick to the one that suits you best. That said, skipfish is not a silver bullet, and may be unsuitable for certain purposes. Most curious! A rough list of the security checks offered by the tool is outlined below. All right, I want to try it out. . $ . $ . $ . $ . $ . $ . $ .
Tenable Network Security. Web Application Security Penetration Testing :: Collections. SecFox - Addons For Security Analysts/Pentesters :: Collections. Ncrack - High-speed network authentication cracker. Ncrack is a high-speed network authentication cracking tool. It was built to help companies secure their networks by proactively testing all their hosts and networking devices for poor passwords. Security professionals also rely on Ncrack when auditing their clients. Ncrack was designed using a modular approach, a command-line syntax similar to Nmap and a dynamic engine that can adapt its behaviour based on network feedback. It allows for rapid, yet reliable large-scale auditing of multiple hosts. Ncrack's features include a very flexible interface granting the user full control of network operations, allowing for very sophisticated bruteforcing attacks, timing templates for ease of use, runtime interaction similar to Nmap's and many more.
Ncrack was started as a "Google Summer of Code" Project in 2009. Ncrack is available for many different platforms, including Linux, *BSD, Windows and Mac OS X. Tar -xzf ncrack-0.4ALPHA.tar.gz cd ncrack-0.4ALPHA . Ncrack is in constant development.