Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
The Web Platform Incubator Community Group recently published the Draft Community Group Report for the HTML Sanitizer API. The HTML Sanitizer API lets developers take untrusted strings of HTML and sanitize those strings for safe insertion into a document’s DOM. The most common use case of HTML string sanitization is to prevent cross-site scripting (XSS) attacks. 
No comment yet.
Sign up to comment
Scoop.it!
Selon Google, de plus en plus, les problèmes de sécurité découverts dans les applications Web modernes reposent sur l'utilisation abusive des comportements de longue date des plates-formes Web, permettant aux sites peu recommandables de révéler des informations sur l'utilisateur ou leurs données
Mickael Ruau's insight:
Pour promouvoir une meilleure compréhension de ces problèmes et en protéger le Web, Google lance wiki XS-Leaks, une base de connaissances ouverte à laquelle la communauté de la sécurité est invitée à participer et où les chercheurs peuvent partager des informations sur les nouvelles attaques et défenses. Ce wiki explique les principes des fuites intersites, discute des attaques courantes et propose des mécanismes de défense visant à atténuer ces attaques. Site : xsleaks.dev
Scoop.it!
Cet article examine ce qui arrive quand un utilisateur soumet un formulaire — où les données vont-elles et comment les gère-t-on une fois à destination ? Nous examinerons aussi quelques problèmes de sécurité associés à l'envoi des données d'un formulaire.
Mickael Ruau's insight:
Note : Il est possible de spécifier une URL qui utilise le protocole HTTPS (HTTP sécurisé). Quand vous faites ceci, les données sont chiffrées avec le reste de la requête, même si le formulaire lui-même est hébergé dans une page non sécurisée à laquelle on accède via HTTP. D'autre part, si le formulaire est hébergé sur une page sécurisée mais qu'on spécifique une URL non sécurisée avec l'attribut action, tous les navigateurs affichent une alerte de sécurité pour l'utilisateur chaque fois qu'il envoie des données car celles-ci ne sont pas chiffrées.
Scoop.it!
Lorsqu’ils consultent des sites protégés par SSL, les visiteurs s’attendent à être en sécurité et protégés – ce qu’ils sont en droit d’exiger. Lorsqu’un site ne protège ou ne sécurise pas intégralement ses contenus, le navigateur affiche une alerte de type « contenu mixte ».
Scoop.it!
Deux documents ne provenant pas du même domaine ne peuvent pas accéder aux contenus respectifs :
Cependant
Scoop.it!
Liste des headers HTTP permettant de configurer certains aspects techniques de votre site, et en particulier la sécurité.
Mickael Ruau's insight:
lutôt que de réécrire des spécifications techniques et d’expliquer en détails le fonctionnement des headers HTTP, nous allons vous fournir une analyse synthétique et une liste de liens intéressants que vous pourrez parcourir si vous souhaitez creuser le sujet. Nous allons présenter les headers suivants :
Scoop.it!
Most advanced XSS detection suite. Contribute to s0md3v/XSStrike development by creating an account on GitHub.
Scoop.it!
Gryffin is a large scale web security scanning platform. It is not yet another scanner. It was written to solve two specific problems with existing scanners: coverage and scale. Better coverage translates to fewer false negatives. Inherent scalability translates to capability of scanning, and supporting a large elastic application infrastructure. Simply put, the ability to scan 1000 applications today to 100,000 applications tomorrow by straightforward horizontal scaling.
Mickael Ruau's insight:
CoverageCoverage has two dimensions - one during crawl and the other during fuzzing. In crawl phase, coverage implies being able to find as much of the application footprint. In scan phase, or while fuzzing, it implies being able to test each part of the application for an applied set of vulnerabilities in a deep. Crawl CoverageToday a large number of web applications are template-driven, meaning the same code or path generates millions of URLs. For a security scanner, it just needs one of the millions of URLs generated by the same code or path. Gryffin's crawler does just that. Page DeduplicationAt the heart of Gryffin is a deduplication engine that compares a new page with already seen pages. If the HTML structure of the new page is similar to those already seen, it is classified as a duplicate and not crawled further. DOM Rendering and NavigationA large number of applications today are rich applications. They are heavily driven by client-side JavaScript. In order to discover links and code paths in such applications, Gryffin's crawler uses PhantomJS for DOM rendering and navigation. Scan CoverageAs Gryffin is a scanning platform, not a scanner, it does not have its own fuzzer modules, even for fuzzing common web vulnerabilities like XSS and SQL Injection. It's not wise to reinvent the wheel where you do not have to. Gryffin at production scale at Yahoo uses open source and custom fuzzers. Some of these custom fuzzers might be open sourced in the future, and might or might not be part of the Gryffin repository. For demonstration purposes, Gryffin comes integrated with sqlmap and arachni. It does not endorse them or any other scanner in particular. The philosophy is to improve scan coverage by being able to fuzz for just what you need.
Scoop.it!
- Protect sensitive customer data - Meet PCI compliance requirements -Block unauthorized access - Prevent SQL injection and Cross Site Scripting (XSS) attacks
Mickael Ruau's insight:
Our web interface offers a customizable, free ModSecurity rules-based traffic control system that delivers robust, long-term protection against all known web-server attacks. Frequent updates mean your site is even protected from emerging threats that might be affecting other websites.
Setup takes minutes and does not require any server-side installs other than the deployment of the latest ModSecurity firewall rulesets to your webserver.
CWAF offers administrators a simple but powerful means of implementing and updating firewall rulesets on their Apache, LiteSpeed and Nginx on Linux. Administrators can manually download and implement ModSecurity rulesets or can install the CWAF Web Management Panel agents to automatically fetch and install the new ModSecurity rules as soon as they become available. The agents can also be used to configure the overall behavior of CWAF and to customize the ModSecurity rules by excluding unwanted rules from implementation.
Comodo Web Application Firewall is configured and managed via our online interface and only requires that our rulesets are downloaded to your web-server. Because of this, system requirements are minimal: - Apache web server v.2.2 and upwards - or Litespeed web server v.4.2.22 and upwards - or Nginx web server v.1.6.3 and upwards - Linux server platform - 10 MB free space to download free ModSecurity rulesets Optional: - 2 MB free space for client installation
|
Scoop.it!
Dans le cadre de son rapport annuel de tendances sur la cybersécurité collaborative, HackerOne a établi le classement des 10 vulnérabilités informatiques les plus couramment détectées par les hackers de son écosystème, dans le cadre de programmes de bug bounty initiés à travers le monde en 2020.
Scoop.it!
Peut-être avez-vous vu ce conseil chez Dareboost vous encourageant à mettre en place une politique de sécurité sur la provenance de vos ressources. Mais peut-être n’avez-vous pas encore franchi le cap. Pour vous aider à sauter le pas, je vous propose quelques conseils sur son déploiement, tirés de mon expérience.…
Mickael Ruau's insight:
CSP, pour Content Security Policy, est un en-tête de sécurité destiné à lutter contre les failles dites de Cross-Site Scripting (XSS). Le principe, déjà expliqué ici, en est simple : vous définissez des directives de sécurité à propos des contenus de vos pages et le navigateur se charge de les appliquer. En pratique, cet en-tête est très puissant et permet énormément de choses.
Scoop.it!
Dans ce deuxième article de la série consacrée aux failles applicatives, Mickael FRANC aborde les injections XSS au travers de l'OWASP. Vous découvrirez ces failles et apprendrez à les détecter. Vous verrez enfin les moyens de vous en prémunir.
Mickael Ruau's insight:
Il existe deux types d’attaques XSS :
Lorsque des données sont envoyées par un client et sont affichées telles quelles dans la page résultante sans être encodées en entités HTML.
Lorsque des données sont fournies depuis une source de données quelconque (BDD, fichiers, etc.) et sont affichées telles quelles dans la page résultante sans être encodées en entités HTML. L’impact d’une XSS stockée est d’autant plus grave car elle touche tous les visiteurs de la page piégée.
Scoop.it!
Au fil du temps, nous intégrons de plus en plus de contenus, provenant parfois de partis tiers (widgets pour les réseaux sociaux, publicités, etc). Deux conséquences en découlent : les pages web ne cessent de s’alourdir, et nous affichons aux internautes des contenus que nous ne pouvons pas maîtriser complètement. Certains de ces contenus externes sont intégrés par l’intermédiaire de la balise <iframe>, et doivent faire l’objet d’une attention particulière en terme de sécurité. Pour limiter les risques, le W3C a ainsi ajouté l’attribut sandbox dans sa spécification du HTML5, qui permet de restreindre les actions possibles dans l’iframe sur les principaux navigateurs récents.
Scoop.it!
Introduction : Qu'est-ce que la faille XSS - Comment savoir si mon site est faillible ? Exemple d'exploitation de faille XSS Comment s'en prémunir
Scoop.it!
Mickael Ruau's insight:
La première chose pour un site souhaitant faire du CORS est de bien positionner les origines autorisées avec le header Access-Control-Allow-Origin. Ce dernier doit stipuler explicitement les origines autorisées pour bénéficier pleinement de l’utilisation des XHR (rappelons que l’utilisation de ces headers concernent les XmlHttpRequest, une iframe par exemple n’émettra pas de header Origin et sera soumise à la Same Origin Policy).
Scoop.it!
Awesome XSS stuff. Contribute to s0md3v/AwesomeXSS development by creating an account on GitHub.
Scoop.it!
A test bed for web application security scannersFiring Range is a test bed for web application security scanners, providing synthetic, wide coverage for an array of vulnerabilities, but focusing on variants of XSS. It can be deployed as a Google App Engine application. A public instance is running at https://public-firing-range.appspot.com. How Google uses Firing RangeGoogle uses the firing range as part of the integration tests of our internal web application scanner, and as a benchmark for new detection capabilities.
Scoop.it!
Google a publié CSP Evaluator et CSP Mitigator, deux nouveaux outils pour aider les chercheurs de sécurité à identifier les faiblesses qui sont souvent exploitées pour lancer des attaques XSS. Ces deux outils se basent sur le CSP (Content Security Policy), un mécanisme de sécurité permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés afin de mieux se prémunir d'une éventuelle faille XSS.
|
