Archive annuelle 24 septembre 2018

Faille de sécurité Twig < 2.4.4 - Server Side Template Injection - CVE-2018-13818

Une nouvelle faille de sécurité a été découverte dans les version inférieur à 2.4.4 de Twig.

Il est possible d’injecer du code en GET/POST via le parametre search_key.

Le détail de la CVE : https://www.cvedetails.com/cve/CVE-2018-13818/

Eslint disponible depuis Homebrew

Eslint ? C’est quoi ?

Eslint est un AST-based pattern checker for JavaScript.

ESLint est un utilitaire de linting JavaScript open source créé à l’origine par Nicholas C. Zakas en juin 2013. Le linting de code est un type d’analyse statique fréquemment utilisé pour trouver des modèles ou du code problématiques qui ne respectent pas certaines directives de style. Il existe des linters de code pour la plupart des langages de programmation, et les compilateurs incorporent parfois du linting dans le processus de compilation.

JavaScript, étant un langage dynamique et à typage large, est particulièrement sujet aux erreurs de développeur. Sans le bénéfice d’un processus de compilation, le code JavaScript est généralement exécuté pour rechercher des erreurs de syntaxe ou autres. Les outils de linting comme ESLint permettent aux développeurs de découvrir des problèmes avec leur code JavaScript sans l’exécuter.

ESLint est écrit en utilisant Node.js pour fournir un environnement d’exécution rapide et une installation facile via npm ou brew maintenant 🙂

Le detail de la formule brew : https://formulae.brew.sh/formula/eslint

Installer crowl.tech sur Mac OS

Vous souhaitez utiliser la solution open source de crawl de https://www.crowl.tech/, voici les étapes à suivre pour l’installer en local sur votre machine mac os.

Installer Python

sudo easy_install python

Installer les dépenses

sudo easy_install nose
sudo easy_install tornado
pip install configparser
pip install parse

Installer Crowl

Créer un dossier par exemple crowl et vous positionner dans celui-ci.

mkdir crowl
cd crowl

Télécharger le code source dans le dossier crowl

git clone https://gitlab.com/crowltech/crowl.git .

Lancer l’installation

pip install -r requirements.txt --user

Prestashop faille de sécurité 2018 sur les sessions et cookies

Les utilisateurs de PrestaShop ont été invités à passer à la dernière version après la découverte d’une faille dans la manière dont la plate-forme e-commerce gère les données de session.

Le bogue, découvert par Ambionics Security et détaillé dans un article technique plus tôt cette semaine, pourrait permettre à un attaquant de prendre le contrôle de toute session client, de voler des données commerciales ou d’avoir un accès total au panneau administrateur.

Selon Charles Fol d’Ambionics, au lieu d’utiliser l’ID de session PHP habituel et de stocker des données localement, il s’est avéré que PrestaShop stockait les données de session dans un cookie sans chiffrement adéquat et sans signature cryptographique.

“Pour que le cookie ne soit pas altéré, une somme de contrôle est ajoutée et le tout est alors chiffré”, a noté Fol.

“Le processus est défectueux et permet aux pirates de lire et d’écrire des données de session et donc de détourner des sessions de clients ou d’employés, ce qui entraîne un contrôle partiel ou complet du site.”

La société a été alertée de la vulnérabilité en mai et a résolu le problème dans les versions 1.6.1.20 et 1.7.3.4.

Plugin OAuth 2.0 pour Grav

Grav est un CMS Flat-File puissant, léger et très pratique.

On peut également y trouver plus de 250 plugins afin d’accroître les possibilités de ce bel outil open-source.

J’ai le plaisir de participer au développement de Grav en vous proposons un plugin OAuth 2.0 pour limiter l’accès au CMS par le biais d’une authentification préalable.

Il est aussi possible de l’activer pour la partie Admin afin de créer les utilisateurs en fonction de leur connexion via OAuth 2.0.

Retrouver l’ensemble des informations sur Github : https://github.com/sebastienhouzet/grav-plugin-oauth2

Bonne utilisation et n’hésitez pas à proposer vos améliorations.

Source

Interface Web pour gérer vos dockers !

Vous n’avez pas forcément accès en SSH à la machine ? Vous souhaitez une interface visuel pour manager docker ?

Il existe pour cela un très bel outil, et certainement d’autres, mais aujourd’hui, je vous propose de découvrir https://www.portainer.io/

Compatible sur toutes les plateformes Linux, Windows et Mac. Il est aussi possible de le lancer à travers un docker 🙂

portainer.io est compatible à partir de la version 1.9 de Docker et la version 1.2.3 de Docker Swarm.

De plus portainer.io expose une API qui vous permettra d’aller encore plus loin dans la gestion de Docker.

 

 

Rancher 2.0, la beta est disponible !

Hier est sortie la version Beta de Rancher 2.0. Après plus d’un an l’équipe Rancher vient de lancer la phase beta de Rancher 2.0.

Pour rappel, Rancher 2.0 est construit sur Kubernetes. Rancher 2.0 fournit un outil de gestion de tout cluster Kubernetes peu importe le lieu d’hébergement de votre cluster (Google, Azure et AWS…). L’un des avantages de Rancher est d’avoir une interface intuitive et facile d’utilisation pour gérer Kubernetes.

Vous souhaitez en savoir plus, suivez les différents liens :

L‘article de blog détaillant la version bêta
Inscrivez-vous au Meetup en ligne le 11 avril
Déployez Rancher 2.0 et rejoindre le programme bêta

Commandes pratiques pour Docker

Je vous propose quelques commandes pratiques pour manager vos dockers.

Arreter tous les dockers :

docker stop $(docker ps -a -q)

Supprimer tous les dockers :

# docker rm $(docker ps -a -q) 

Ingenieur SI (H/F) – Developpeur Senior – Job

Le projet vise à rassembler l’ensemble des données décrivant nos produits (de la conception au prix en passant par l’offre et la supply) pour les mettre à disposition du plus grand nombre.

Mission

Le projet vise à rassembler l’ensemble des données décrivant nos produits (de la conception au prix en passant par l’offre et la supply) pour les mettre à disposition du plus grand nombre.Tu intégreras une feature team rassemblant POs, Devs, TechLead, DevOps travaillant en lien avec les experts métiers et le reste du SI pour construire la solution la plus performante et adaptée pour accompagner l’ouverture et transformation digitale de l’entreprise.

Au sein d’une équipe agile, fonctionnelle et technique tes principales responsabilités seront :

  • Concevoir techniquement tes solutions
  • Contribuer à la conception des architectures
  • Développer les composants logiciels
  • Mettre en place et animer tes politiques de tests (TDD,BDD)
  • Faire vivre ton application : you build it, you run it !
  • Garantir la maintenabilité et performance de ton application
  • Ecrire toi même toutes les autres missions que tu pourrais remplir pour faire grandir le projet

Ton environnement technique :

Language : java (ouvert si tu as une meilleure idée)

Diffusion : API RESTful, Messaging Kafka

Stockage : PostgreSQL, Elastic Search, GraphQL

Infra : Rancher, Docker,…

Profil recherché

Tu as envie d’intégrer une équipe à taille humaine, tu fais preuve de créativité concrète et passionné des nouvelles technologies IT.

Tu rêves de rendre la catalogue produit enfin accessible facilement en interne et en externe, de vrai api REST, de messaging, de programmation fonctionnelle, de GraphQL et d’avoir carte blanche pour coder la meilleur application possible : rejoins nous !

Contrat : CDI
Rémunération : 25K à 35K
Début : ASAP 🙂
Lieu : Lille / Croix

INGENIEUR SI (H/F) – DEVOPS – Jobs

Le projet vise à rassembler l’ensemble des données décrivant nos produits (de la conception au prix en passant par l’offre et la supply) pour les mettre à disposition du plus grand nombre.

Mission

Le projet vise à rassembler l’ensemble des données décrivant nos produits (de la conception au prix en passant par l’offre et la supply) pour les mettre à disposition du plus grand nombre.

Tu intégreras une feature team rassemblant POs, Devs, TechLead, DevOps travaillant en lien avec les experts métiers et le reste du SI pour construire la solution la plus performante et adaptée pour accompagner l’ouverture et transformation digitale de l’entreprise.

Au sein d’une équipe agile, fonctionnelle et technique tes principales responsabilités seront :

  • Construire l’infra cible du projet (et ses environnements)
  • Dockeriser les applications en construction
  • MEP sans interruption et loadBalancing
  • Déployer et maintenir les environnements pour garantir leurs disponibilités
  • Analyser les performances de ces environnements
  • Industrialiser le process d’installation et de déploiement (automatisation, CI,…)
  • Partager ta connaissance, former
  • Ecrire toi même toutes les autres missions que tu pourrais remplir pour faire grandir le projet

Ton environnement technique :

Language : java (ouvert si tu as une meilleure idée)

Diffusion : API RESTful, Messaging Kafka

Stockage : PostgreSQL, Elastic Search, GraphQL

Infra : Rancher, Docker, …

Profil recherché

Tu as envie d’intégrer une équipe à taille humaine, tu fais preuve de créativité concrète, passionné de sport et par les nouvelles technologies IT.

Tu rêves de conteneurs, d’infra auto-scalable haute dispo, d’intégration et de déploiement continue et pleins d’autres choses : rejoins nous !

Contrat : CDI
Rémunération : 25K à 35K
Début : ASAP 🙂
Lieu : Lille / Croix

Derniers articles

Menu

Derniers commentaires

Tags

.htaccess 2019 apache Apple Brand Certificat CMS Coworker.rs Crawl Crawler CVE Design docker E-commerce Emoji Eslint Faille Git Grav GRPD High https Javascript Kubernetes Logo Mac npm OAuth2 Plugin portainer.io PrestaShop Rancher RGPD Script Security SEO Sierra SSL Symfony Sécurité Twig Unicode WAF Web Wildcard
copyright 2010-2020 - YOOZIO - Sébastien HOUZET