Jaap Karan Singh est directeur de la stratégie client, Chief Singh et cofondateur de Secure Code Warrior. Après avoir testé la sécurité chez BAE Systems en Australie, Jaap est passé du piratage d'applications web à l'éducation des développeurs sur la façon de protéger leurs propres applications. Jaap conçoit et met en œuvre l'ensemble de la stratégie client qui comprend le succès client, les renouvellements, le support, les opérations et le marketing client.
Basé à Sydney, Jaap a dispensé des formations sur les concepts de sécurité des logiciels et animé des ateliers dans des organisations financières et de télécommunications de premier plan dans le monde entier. Il est spécialisé dans les technologies Javascript telles que HTML5, Node, Express et Mongo.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Lorsque votre application Web révèle trop d'informations, il peut être plus facile pour les attaquants de s'y introduire. jDans cet article, nous verrons ce qu'est l'exposition d'informations, pourquoi elle est dangereuse et comment l'éviter.
Une grande majorité de sites web utilisent des bases de données XML pour remplir des fonctions critiques telles que la conservation des identifiants de connexion des utilisateurs, des informations sur les clients, des informations sur l'identité personnelle et des données confidentielles ou sensibles, ce qui laisse aux attaques XQuery une empreinte d'attaque assez importante.
Les attaques par injection de code sont parmi les plus courantes, et aussi les plus dangereuses, que rencontrent de nombreux sites web et applications. Elles varient en termes de sophistication et de dangerosité, mais presque tous les sites ou applications qui acceptent des données d'entrée de l'utilisateur peuvent être vulnérables.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus d'inclusion de fichiers locaux et de traversée de chemin à des fins malveillantes nécessite un attaquant suffisamment compétent, beaucoup de temps et peut-être un peu de chance.
Il est courant que les sites web et les applications permettent aux utilisateurs d'envoyer des commentaires et d'autres informations par l'intermédiaire d'une application en utilisant le courrier électronique. Et la plupart des gens n'y pensent même pas en termes de risque potentiel pour la sécurité.
Des problèmes peuvent survenir lorsque des utilisateurs malveillants peuvent manipuler une requête LDAP. Cela peut inciter le serveur récepteur à exécuter des requêtes non valides qui ne seraient normalement pas autorisées, voire à accorder un accès de haut niveau ou d'administrateur à des utilisateurs non valides ou peu sûrs sans mot de passe.
Les attaquants utilisent l'injection SQL - l'une des vulnérabilités les plus anciennes (depuis 1998 !) et les plus ennuyeuses - pour voler et modifier les informations sensibles disponibles dans des millions de bases de données à travers le monde.
À bien des égards, la vulnérabilité d'inclusion de fichiers à distance est beaucoup plus dangereuse, et aussi plus facile à exploiter, que son équivalent local. C'est pourquoi elle doit être détectée et corrigée dès que possible.
Les sessions sont la clé d'une bonne expérience utilisateur lors de l'utilisation du web. Cependant, une mauvaise gestion des sessions peut entraîner des failles de sécurité que les pirates peuvent exploiter.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées menées contre elle finiront par être couronnées de succès.
L'exposition de données sensibles se produit lorsque des informations qui ne sont destinées qu'à une visualisation autorisée sont exposées à une personne non autorisée dans un état non crypté, non protégé ou faiblement protégé.
Même si vous avez entièrement sécurisé un serveur d'application et les systèmes dorsaux qu'il utilise, les communications peuvent encore être espionnées si la protection de la couche transport est insuffisante.
Lorsque vous créez une application professionnelle, qu'elle soit destinée à un usage interne ou à un usage externe par vos clients, vous ne permettez probablement pas à chaque utilisateur d'exécuter toutes les fonctions. Si c'est le cas, vous risquez d'être vulnérable à un contrôle d'accès défaillant.
Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.
Les scripts intersites (XSS) profitent de la confiance des navigateurs et de l'ignorance des utilisateurs pour voler des données, s'emparer de comptes et défigurer des sites web ; il s'agit d'une vulnérabilité qui peut rapidement devenir très gênante. Voyons comment fonctionne le XSS, quels sont les dommages qu'il peut causer et comment s'en prémunir.
Le codage d'un site web ou d'une application avec la capacité de traiter des redirections et des transferts non validés peut être extrêmement dangereux pour vos utilisateurs et votre organisation.
Les bases de données NoSQL sont de plus en plus populaires. Il est difficile de nier leur rapidité et leur facilité à traiter des données non structurées, mais à mesure que leur utilisation se généralise, de nouvelles vulnérabilités remontent inévitablement à la surface.
On parle de référence directe à un objet lorsqu'un enregistrement spécifique (l'"objet") est référencé dans une application. Elle prend généralement la forme d'un identifiant unique et peut apparaître dans une URL.
La désérialisation non sécurisée peut se produire lorsqu'une application traite les données désérialisées comme des données de confiance. Si un utilisateur est en mesure de modifier les données nouvellement reconstruites, il peut effectuer toutes sortes d'activités malveillantes telles que des injections de code, des attaques par déni de service ou l'élévation de ses privilèges.
Nous allons aborder l'un des problèmes les plus courants auxquels sont confrontées les organisations qui gèrent des sites web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, c'est-à-dire à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Les attaques par injection XML sont de méchants petits exploits inventés par les pirates pour les aider à compromettre les systèmes hébergeant des bases de données XML. Il s'agit notamment du genre de choses qui viennent à l'esprit lorsque l'on pense aux bases de données traditionnelles, à savoir des stocks détaillés d'informations sur des sujets aussi variés que les médicaments ou les films.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent surgir entre l'équipe de développement et les spécialistes de l'AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité. Cependant, il existe une meilleure approche.
Qu'est-ce qu'une mauvaise configuration de sécurité ? Découvrez les erreurs de configuration les plus courantes en matière de sécurité et comment prévenir les vulnérabilités. Apprenez de Secure Code Warrior.
Les attaques CSRF sont assez complexes et s'appuient sur plusieurs couches pour réussir. En d'autres termes, de nombreux éléments doivent se briser en faveur de l'attaquant pour que l'attaque fonctionne. Malgré cela, il s'agit d'un vecteur d'attaque extrêmement populaire et lucratif.
Si un attaquant peut insérer un code CR ou LF dans une application existante, il peut parfois en modifier le comportement. Les effets sont moins faciles à prévoir que ceux de la plupart des attaques, mais ils peuvent être tout aussi dangereux pour l'organisation cible.
Si une application ne dispose pas de contrôles anti-automatisation suffisants, les attaquants peuvent simplement continuer à deviner les mots de passe jusqu'à ce qu'ils trouvent une correspondance. Voici comment les en empêcher.
Dans le domaine de la cybersécurité, les attaquants peuvent être prompts à exploiter toute application ou tout programme qui a été autorisé à prendre en charge des téléchargements de fichiers sans restriction. Les résultats peuvent être dévastateurs.
Les attaques par injection de commandes du système d'exploitation peuvent être réalisées par des pirates débutants ou peu qualifiés, ce qui en fait l'une des faiblesses les plus courantes auxquelles les équipes de sécurité sont confrontées. Heureusement, il existe plusieurs moyens très efficaces d'empêcher ces attaques de réussir.
Il est tout à fait étonnant que de nombreuses entreprises continuent de s'appuyer sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments à de nouvelles initiatives, alors qu'il existe une méthode d'apprentissage bien meilleure, plus attrayante et plus précieuse : la formation contextuelle.
Étant donné que toutes les applications utilisent des composants, dont la plupart n'ont pas été écrits par vous, les vulnérabilités des composants que vous utilisez peuvent devenir des responsabilités. Voyons ce que signifie l'utilisation de composants présentant des vulnérabilités connues, en quoi elle est dangereuse et comment y remédier.
