OWASP Dependency Check OWASP Dependency-Check Dependency-Check is a utility that identifies project dependencies and checks if there are any known, publicly disclosed, vulnerabilities. Currently, Java and .NET are supported; additional experimental support has been added for Ruby, Node.js, Python, and limited support for C/C++ build systems (autoconf and cmake). Introduction The OWASP Top 10 2013 contains a new entry: A9-Using Components with Known Vulnerabilities. The problem with using known vulnerable components was described very well in a paper by Jeff Williams and Arshan Dabirsiaghi titled, "Unfortunate Reality of Insecure Libraries". Dependency-check has a command line interface, a Maven plugin, an Ant task, and a Jenkins plugin. Dependency-check automatically updates itself using the NVD Data Feeds hosted by NIST.
Un projet Node.js sur deux audité par les outils de npm aurait au moins une vulnérabilité, une sur dix d'entre elles sont critiques npm est désormais incontournable pour les développeurs javascript . Apparu avec node.js en 2009 son usage dépasse aujourd’hui l’environnement serveur. Il est de plus en plus utilisé pour des applications front et son usage comme outil de développement devient quasi systématique. La nuit du 11 au 12 juillet 2018, un hacker a accédé au compte npm d'un développeur et a injecté du code malveillant dans une bibliothèque JavaScript populaire, un code conçu pour voler les informations d'identification npm des utilisateurs qui utilisent le paquet infecté dans leurs projets. Quelques mois avant, en mai, l’équipe a découvert une porte dérobée dans un paquet JavaScript populaire ; « getcookies », un paquet npm relativement récent (bibliothèque JavaScript) qui fonctionne avec les cookies du navigateur. Selon l'équipe npm, la porte dérobée « permettait à un attaquant de saisir du code arbitraire sur un serveur en cours d'exécution et de l'exécuter ». De nombreuses options pour améliorer la sécurité
sqlmap: automatic SQL injection and database takeover tool Injection SQL Un article de Wikipédia, l'encyclopédie libre. Exemple[modifier | modifier le code] Considérons un site web dynamique (programmé en PHP dans cet exemple) qui dispose d'un système permettant aux utilisateurs possédant un nom d'utilisateur et un mot de passe valides de se connecter. SELECT uid FROM Users WHERE name = '(nom)' AND password = '(mot de passe hashé)'; L'utilisateur Dupont souhaite se connecter avec son mot de passe « truc » hashé en MD5. SELECT uid FROM Users WHERE name = 'Dupont' AND password = '45723a2af3788c4ff17f8d1114760e62'; Attaquer la requête[modifier | modifier le code] Utilisateur : Dupont' --Mot de passe : n'importe lequel La requête devient : SELECT uid FROM Users WHERE name = 'Dupont' -- ' AND password = '4e383a1918b432a9bb7702f086c56596e'; SELECT uid FROM Users WHERE name = 'Dupont'; L'attaquant peut alors se connecter sous l'utilisateur Dupont avec n'importe quel mot de passe. Utilisateur : DupontMot de passe : ' or 1 -- La requête devient alors : SELECT ...
WebGoat/WebGoat: WebGoat 8.0 BlackArch Linux - Penetration Testing Distribution