Les failles de sécurité constituent un risque majeur pour les applications web modernes, exposant potentiellement les données sensibles des utilisateurs et les infrastructures des entreprises à des attaques malveillantes.
Parmi les vulnérabilités les plus redoutées se trouve l’inclusion de fichiers distants, plus communément appelée Remote File Inclusion (RFI). Cette technique d’attaque permet à un attaquant d’injecter et d’exécuter du code arbitraire hébergé sur un serveur distant.
Quelle que soit l’application web, il est courant de permettre aux utilisateurs de changer leur adresse email. Cette fonctionnalité est critique car elle impacte directement la gestion des comptes. De plus, l’adresse email sert souvent d’identifiant pour l’authentification. Il est donc essentiel de sécuriser cette fonctionnalité.
Nous pouvons distinguer différentes situations. Dans certains cas, l’application permet aux utilisateurs de changer leur propre adresse email. D’autres fois, un administrateur peut modifier les adresses email des utilisateurs. Parfois, les deux options sont possibles.
Les failles de type « prototype pollution » sont spécifiques à Javascript. Elles peuvent être exploitées côté serveur et côté client. Ces failles permettent à des attaquants d’exécuter du code malveillant ou de voler des données.
Il est donc crucial de comprendre et de traiter ces vulnérabilités. Cet article détaille les principes des failles prototype pollution, les exploitations côté serveur et client, ainsi que les mesures à implémenter pour contrer les attaques.
On ne peut pas parler d’ingénierie sociale sans évoquer le phishing. De même, l’email est incontournable quand il s’agit de phishing. Bien qu’il existe d’autres techniques d’ingénierie sociale, comme le vishing, et de multiples vecteurs de phishing, comme le SMS (smishing), l’email reste en effet l’outil préféré des attaquants.
Dans cet article, nous présenterons trois outils couramment utilisés pour réaliser des campagnes de phishing : Gophish, Evilginx et Evilgophish.
Le vol de comptes est une pratique courante qui met en danger la sécurité des utilisateurs et de leurs données. L’impact pour les victimes dépend du type de compte ciblé. Il peut être mineur s’il s’agit d’un compte fidélité personnel, mais devient critique pour un compte administrateur d’entreprise.
Les attaques utilisent diverses techniques, souvent basées sur des campagnes de masse pour voler un maximum d’identifiants. Cependant, il existe aussi des vulnérabilités applicatives permettant des vols de comptes plus ciblés. La présence de ces failles représente un risque majeur pour les entreprises, surtout si un compte administrateur est compromis.
La gestion sécurisée des identités et des accès est devenue un enjeu crucial pour les organisations. Parmi les solutions disponibles, le Security Assertion Markup Language (SAML) s’est imposé comme un standard incontournable pour l’authentification unique (SSO).
Ce protocole basé sur XML permet aux utilisateurs de s’authentifier une seule fois et d’accéder à plusieurs applications sans avoir à se reconnecter; simplifiant ainsi l’expérience utilisateur. Cependant, en cas de mauvaise implémentation, des vulnérabilités critiques peuvent être exploitées.
La sécurité de l’IoT est un enjeu clé pour les organisations. Dans tous les secteurs et domaines d’activité (santé, industrie, services, transport, énergie, etc.), l’IoT est synonyme de développement et de croissance.
Actuellement, on estime à plus de 15 milliards d’objets IoT en service à travers le monde. Ce nombre pourrait doubler d’ici 2030. Cependant, cette prolifération des objets connectés s’accompagne de nouveaux enjeux, notamment en termes de sécurité.
Avec la recrudescence des attaques, réaliser un audit de sécurité informatique n’a jamais été une aussi grande priorité pour les entreprises.
Selon l’ANSSI, les cyberattaques ont augmenté de 400% entre 2020 et 2023, avec 70% qui ont visé des entreprises. En outre, le coût moyen de ces attaques était situé entre 300 000 et 500 000€ pour une PME et d’environ 775 000€ pour les ETI.
Développé en 2012 et rendu open source en 2015 par Facebook, GraphQL (Graph Query Language) est depuis 2019 sous la tutelle de “GraphQL Foundation”.
GraphQL est un langage de requêtes, c’est à dire un langage utilisé pour accéder aux données d’une base de données ou tout autre système d’information, au même titre que le SQL (Structured Query Language).
Vous avez sûrement entendu parler de l’arrivée fracassante des LLM, à minima avec l’incontournable ChatGPT.
Le terme LLM (pour Large Language Model) désigne les modèles de traitement du langage. Ces modèles sont entrainés pour effectuer tous types de tâches linguistiques : traduction, génération de texte, réponse à des questions, etc.
Souvent, lorsque nous entendons parler de la sérialisation Java, nous trouvons des ressources ou des challenges qui parlent uniquement de générer et d’exécuter des payloads ysoserial.
Dans certaines situations, cela peut fonctionner. Cependant, dès qu’un client est conscient de cette possibilité, plutôt que de recourir à un format plus sûr, il préfère généralement utiliser à une bibliothèque comme notsoserial qui empêche la désérialisation des classes non autorisées.
