Get Started for FREE
Sign up with Facebook Sign up with Twitter
I don't have a Facebook or a Twitter account
Tag |
---|
|
Scooped by
Mickael Ruau
onto Bonnes Pratiques Web & Cloud |
![]() ![]()
![]() DVWA est une application Web qui est sacrément vulnérables écrite en PHP/MySql . Elle est légère, facile à utiliser et plein de failles à exploiter.
![]()
From
dzone
The first question you should ask yourself is why do you want to build a mobile app? Here’s a short, general step-by-step to get your app development ...
![]() Les plus
Les moins
![]()
From
blog
Des bibliothèques tierces appelées pisteurs sont souvent présentes dans les applications mobiles, parfois au dépit des législations en vigueur, de la sécurité de ces applications ou des droits des personnes les utilisant.
Mickael Ruau's insight:
Un pisteur est une librairie de code, ou kit de développement (Software Development Kit ou SDK en anglais), chargée de collecter des informations sur la personne qui utilise une application, ou bien sur les usages ou l’environnement de cette personne. Nous pouvons citer parmi les plus fréquents : Google Analytics, Facebook Ads ou Twitter MoPub. Ces librairies sont très largement utilisées dans le monde du développement d’applications (mais pas seulement) car elles permettent de gagner du temps et d’éviter de réinventer la roue à chaque projet. Elles se divisent en plusieurs catégories : analytique, rapports de crash, profilage, identification, publicité, localisation, etc.
Voyons ensemble ces problématiques plus en détails et comment s’en prémunir, en particulier sur Android. Bien que pratiques et pouvant dans certains cas s’avérer légitimes, ces pisteurs peuvent poser des problèmes sur plusieurs aspects : la conformité réglementaire, la sécurité de votre application ou même son empreinte écologique. La CNIL y dédie un chapitre entier de son “guide RGPD du développeur” sorti en janvier 2020, sous le nom “Maîtriser vos bibliothèques et vos SDK”.
![]()
From
dvwa
Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment.
![]()
From
www
Sommaire
![]()
From
www
On parle souvent de fondamentaux en référencement, de toutes ces choses immuables et incontournables qu’aucun éditeur de site n’est censé ignorer. Du contenu frais et unique, 1 produit = 1 url, balises title… Mais là n’est pas le sujet. L’idée est d’étudier la valeur d’une page ou plutôt d’une URL, en faisant abstraction de son contenu. Autrement dit, une visIon plus algorithmique, et plus proche de l’interprétation moteur.
![]()
From
www
Il sera bien sûr question de la gestion des attributs rel canonical, rel alternate et hreflang, avec un soupçon de redirection. On abordera le duplicate content, le DUST, le near duplicate, et bien entendu la gestion des langues, des pays, et des devises.
![]() You made a site faster but revenue didn’t improve. Was everything those #webperf people told you a lie?
![]() Ubiquiti, l'un des principaux fournisseurs de dispositifs d'Internet des objets (IdO) basés sur le cloud, a dissimulé la gravité d'une violation de données qui expose le matériel de ses clients à un risque d'accès non autorisé. C’est ce qu’a confié au journaliste d'investigation Brian Krebs un lanceur d'alerte anonyme au sein de l'entreprise. Le professionnel de la sécurité, qui est impliqué dans la réponse à la violation de données, a affirmé que l'incident a été minimisé et pourrait êtr
![]() Un pirate informatique a compromis le serveur utilisé pour distribuer le langage de programmation PHP et a ajouté une porte dérobée au code source qui aurait rendu les sites Web vulnérables à une prise de contrôle complète, ont déclaré des membres du projet open source. Deux mises à jour transmises au serveur PHP Git au cours du week-end ont ajouté une ligne qui, si elle était exécutée par un site Web alimenté par cette version détournée de PHP, aurait permis aux visiteurs sans autorisation d'exécuter le code de leur choix. Les commits malveillants ont donné au code la capacité d'injection de code aux visiteurs qui avaient le mot «zerodium» dans un en-tête HTTP.
Mickael Ruau's insight:
« Alors que l'enquête est toujours en cours, nous avons décidé que le maintien de notre propre infrastructure git est un risque de sécurité inutile, et que nous arrêterons le serveur git.php.net. Au lieu de cela, les référentiels sur GitHub, qui n'étaient auparavant que des miroirs, deviendront canoniques. Cela signifie que les modifications doivent être transmises directement à GitHub plutôt qu'à git.php.net.
![]()
From
owasp
The Web Security Testing Guide (WSTG) Project produces the premier cybersecurity testing resource for web application developers and security professionals.
![]()
From
esante
Cet espace présente les documents de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S)
Mickael Ruau's insight:
LES RÉFÉRENTIELS
Ce document définit les différents paliers pour la mise en œuvre de l’identification des acteurs sanitaires et médico-sociaux.
Ce document définit les différents paliers pour la mise en œuvre de l’authentification des acteurs sanitaires et médico-sociaux.
Le document «Référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé» dresse la liste des autorités de certification dont les certificats peuvent être utilisés pour l’authentification publique dans le secteur de la santé.
Le «Référentiel d’imputabilité» définit les moyens utilisables pour assurer l’imputabilité des actions réalisées vis-à-vis d’un Système d’Information de Santé (SIS) afin de contrôler l’usage fait de ce système d’information PGSSI-S - Référentiel d'imputabilité - V 1.0 PGSSI-S - Référentiel d'imputabilité - V 1.0
Le référentiel force probante précise les conditions techniques et organisationnelles de conservation des documents de santé. |
![]() Quelques jours après qu'une fuite massive de données sur Facebook a fait la une des journaux, il semble que nous en sommes pour une autre, cette fois impliquant LinkedIn. Une archive contenant des données prétendument extraites de 500 millions de profils LinkedIn a été mise en vente sur un forum de hackers populaire, et 2 millions d'enregistrements ont été divulgués en tant qu'échantillon de preuve d'authenticité. Les identifiants, les noms, les adresses e-mail et plus de détails personnels font partie de la base de données massive de données volées, qui pourrait être utilisée pour lancer des attaques supplémentaires sur LinkedIn et ses utilisateurs.
Mickael Ruau's insight:
LinkedIn indique avoir plus de 740 millions d'utilisateurs; si l'acteur malveillant qui vend ce lot de données volées dit la vérité, alors il est prudent de supposer que toute personne possédant un compte LinkedIn pourrait faire partie des 500 millions d'enregistrements divulgués. Dans cet esprit, les utilisateurs de LinkedIn doivent prendre des précautions pour protéger leurs comptes et leurs données personnelles en:
![]() Dans le cadre de son rapport annuel de tendances sur la cybersécurité collaborative, HackerOne a établi le classement des 10 vulnérabilités informatiques les plus couramment détectées par les hackers de son écosystème, dans le cadre de programmes de bug bounty initiés à travers le monde en 2020.
![]() Le web est confronté à deux problèmes :
XML apporte une réponse à ces problèmes.
Mickael Ruau's insight:
Les documents HTML sont rarement conformes aux règles établies par la DTD, les attributs sont rarement entre guillemets, les éléments ne sont pas toujours correctement imbriqués..., ceci est en partie la faute des navigateurs qui essayent d'afficher tous les documents HTML, même s'ils ne sont pas valides.
![]()
From
github
Damn Vulnerable Web Application is damn vulnerable! Do not upload it to your hosting provider's public html folder or any Internet facing servers, as they will be compromised. It is recommended using a virtual machine (such as VirtualBox or VMware), which is set to NAT networking mode. Inside a guest machine, you can download and install XAMPP for the web server and database.
![]()
From
www
Le netlinking (ou linkbuilding) est toujours un pilier très puissant en SEO. Mais contrairement aux années pré-2012, il est préférable de l’inclure dans une stratégie multicanal qui doit associer réseaux sociaux, communication off line, relations presse, advertising, et branding. Un lien peut être considéré comme un vote ou une caution. Avoir un profil de lien à l’ancienne, à savoir beaucoup de liens sans signaux positifs par ailleurs, ne passera pas inaperçu aux yeux des algorithmes. Attention donc.
Mickael Ruau's insight:
Sommaire
![]()
From
www
![]()
From
www
On ne peut pas faire une bonne prestation SEO sans faire une bonne étude de mots clés, là-dessus, les prestataires les plus sérieux seront d’accord. Pour être visible sur le web, il faut être recherché, et par conséquent bien choisir ses mots clés. Reste à savoir comment s’y prendre et avec quels outils. Comme souvent en SEO, les données brutes ne valent pas grand-chose sans analyse, « l’outil ne fait pas le moine » comme dirait Rudy.
![]()
From
www
En SEO, on parle souvent des fondamentaux. La fonction Excel vlookup (dont l’équivalent en français est recherchev) qui signifie « recherche verticale », doit en faire partie, du moins quand il est question d’outils. Pourtant cette fonction est mal apprivoisée dans notre métier, alors que son potentiel est juste énorme.
Mickael Ruau's insight:
Je vous la fait courte, grâce à vlookup vous pourrez mesurer pour votre site :
![]() Netwrix, fournisseur de cybersécurité qui simplifie la sécurité des données, révèle les conclusions de son rapport mondial 2021 sur la sécurité des données dans le cloud pour le secteur financier.En 2020, les incidents les plus courants subis par les organismes financiers concernant les données dans le cloud étaient les attaques de phishing (signalées par 26 % des répondants), les attaques ciblées sur l’infrastructure cloud (22 %) et les ransomwares (15 %). Parmi le
![]() ![]() Open Web Application Security Project - WikipédiaOpen Web Application Security Project ( OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.
Mickael Ruau's insight:
![]()
From
www
This online guide aims to answer pertinent questions for software architects and tech leaders, such as: Why would you use GraphQL? Why should you pay attention to GraphQL now? How can GraphQL help with data modelling in the Enterprise?
![]()
From
owasp
OWASP Application Security Verification Standard on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software. |