RIPE Network Coordination Centre (EU) OWASP Dependency Check OWASP Dependency-Check Dependency-Check is a utility that identifies project dependencies and checks if there are any known, publicly disclosed, vulnerabilities. Currently, Java and .NET are supported; additional experimental support has been added for Ruby, Node.js, Python, and limited support for C/C++ build systems (autoconf and cmake). Introduction The OWASP Top 10 2013 contains a new entry: A9-Using Components with Known Vulnerabilities. The problem with using known vulnerable components was described very well in a paper by Jeff Williams and Arshan Dabirsiaghi titled, "Unfortunate Reality of Insecure Libraries". Dependency-check has a command line interface, a Maven plugin, an Ant task, and a Jenkins plugin. Dependency-check automatically updates itself using the NVD Data Feeds hosted by NIST.
Network Monitor Experts are tools that can be run directly from the Network Monitor Application. They provide external analysis of live or previously captured network traffic. These experts can help troubleshoot specific problems or provide more information to help you narrow down an issue. The following site has a list of the currently available experts and is where you are directed when you select "Download Experts" from the Expert Menu in the Network Monitor application. Network Monitor Experts on CodePlex The Network Monitor Parsers are constantly evolving and being updated based on changes to documentation and bug fixes.
Un projet Node.js sur deux audité par les outils de npm aurait au moins une vulnérabilité, une sur dix d'entre elles sont critiques npm est désormais incontournable pour les développeurs javascript . Apparu avec node.js en 2009 son usage dépasse aujourd’hui l’environnement serveur. Il est de plus en plus utilisé pour des applications front et son usage comme outil de développement devient quasi systématique. La nuit du 11 au 12 juillet 2018, un hacker a accédé au compte npm d'un développeur et a injecté du code malveillant dans une bibliothèque JavaScript populaire, un code conçu pour voler les informations d'identification npm des utilisateurs qui utilisent le paquet infecté dans leurs projets. Quelques mois avant, en mai, l’équipe a découvert une porte dérobée dans un paquet JavaScript populaire ; « getcookies », un paquet npm relativement récent (bibliothèque JavaScript) qui fonctionne avec les cookies du navigateur. Selon l'équipe npm, la porte dérobée « permettait à un attaquant de saisir du code arbitraire sur un serveur en cours d'exécution et de l'exécuter ». De nombreuses options pour améliorer la sécurité
Techniques de scan de ports -sS(Scan TCP SYN) Le scan SYN est celui par défaut et le plus populaire pour de bonnes raisons. Il peut être exécuté rapidement et scanner des milliers de ports par seconde sur un réseau rapide lorsqu'il n'est pas entravé par des pare-feux. Cette technique est souvent appelée le scan demi-ouvert (half-open scanning), car il n'établi pas pleinement la connexion TCP. -sT(Scan TCP connect()) Le scan TCP connect() est le type de scan par défaut quand le SYN n'est pas utilisable. Si le scan SYN est disponible, il vaut mieux l'utiliser. -sU(Scan UDP) Même si les services les plus connus d'Internet son basés sur le protocole TCP, les services UDP sont aussi largement utilisés. Le scan UDP est activé avec l'option-sU. Le scan UDP envoie un en-tête UDP (sans données) à chaque port visé. Une des grandes difficultés avec le scan UDP est de l'exécuter rapidement. -sN; -sF; -sX (Scans TCP Null, FIN et Xmas) Scan Null (-sN) N'active aucun des bits (les drapeaux de l'en-tête TCP vaut 0). Scan FIN (-sF)
sqlmap: automatic SQL injection and database takeover tool Wiki Injection SQL Un article de Wikipédia, l'encyclopédie libre. Exemple[modifier | modifier le code] Considérons un site web dynamique (programmé en PHP dans cet exemple) qui dispose d'un système permettant aux utilisateurs possédant un nom d'utilisateur et un mot de passe valides de se connecter. SELECT uid FROM Users WHERE name = '(nom)' AND password = '(mot de passe hashé)'; L'utilisateur Dupont souhaite se connecter avec son mot de passe « truc » hashé en MD5. SELECT uid FROM Users WHERE name = 'Dupont' AND password = '45723a2af3788c4ff17f8d1114760e62'; Attaquer la requête[modifier | modifier le code] Utilisateur : Dupont' --Mot de passe : n'importe lequel La requête devient : SELECT uid FROM Users WHERE name = 'Dupont' -- ' AND password = '4e383a1918b432a9bb7702f086c56596e'; SELECT uid FROM Users WHERE name = 'Dupont'; L'attaquant peut alors se connecter sous l'utilisateur Dupont avec n'importe quel mot de passe. Utilisateur : DupontMot de passe : ' or 1 -- La requête devient alors : SELECT ...
WebGoat/WebGoat: WebGoat 8.0