Archives de catégorie Securité

ParSébastien HOUZET

ORY Hydra has been released as version 1.0.0+oryOS.12

Avant tout ORY, c’est quoi ?
Contrôle d’accès Open Source et OpenID Certified® et sécurité des API.

ORY Hydra est écrit en Go et fournit des SDK pour chaque langue. Compatible avec n’importe quel système de connexion et il est facile de personnaliser l’expérience de connexion.

ORY Hydra works with any login system and only a few lines of code are required.

ORY Hydra fonctionne avec n’importe quel système de connexion et quelques lignes de code seulement sont nécessaires.

Tout le code est open source, alimenté par une communauté de contributeurs engagés. Il est sous licence Apache 2.0 et est disponible gratuitement sur GitHub. Les projets principaux sont ORY Hydra, ORY Oathkeeper et ORY Keto.

Nous sommes très heureux de vous partager l’annonce d’ORY Hydra sur la sortie en version 1.0.0 + oryOS.12! Hydra peut maintenant être considéré comme stable et de production.

Pour en savoir plus : gethydra.sh

ParSébastien HOUZET

Choisir un pare-feu applicatif Web (WAF) devient incontournable

Le pare-feu web est devenu un incontournable pour protéger vos applications web exposées sur internet.

Les pirates ont de plus en plus recours à attaquer des applications web permettant de voler de données ou d’utiliser l’application de manière détournée.

La sécurisation de l’infrastructure n’est plus suffisante, les firewalls réseau ne protègent pas vos applications. Les systèmes de sécurité classique comme firewalls ou systèmes de prévention des intrusions (IPS) ne détectent pas les tentatives sur les applications web.

Les fuites de données suite à des attaques d’applications Web se multiplient, passant de 7 % en 2015 à 40 % en 2017.

Les entreprises doivent envisager le déploiement d’un pare-feu applicatif Web (WAF).

Un WAF offre une protection contre les attaques sur la couche 7, notamment les attaques dites d’injection (comme l’injection SQL), le cross-site scripting (XSS), le détournement de sessions (session hijacking) et autres attaques Web.

Source : https://www.solutions-numeriques.com

ParSébastien HOUZET

Vérifiez les failles de sécurité sur les package npm

Lors de la conception d’application, nous utilisons de plus en plus de packages externe.

Malheureusement, la plupart du temps, personne ne contrôle si les packages sont à jour. Le code marche très bien, alors pourquoi faire la mise à jour d’un package externe.

Votre application marche certainement très bien avec les versions des packages utilisés, mais il y a peut-être des failles de sécurité à corriger !

npm propose une commande très simple permettant de vérifier les failles de sécurités dans vos packages. Pour cela, vous rendre dans un dossier avec un fichier package.json ou package-lock.json. Lancer ensuite la commande suivant dans votre terminal.

# npm audit

Si vous n’avez aucune vulnérabilité, voici le résultat :

Si vous avez des vulnérabilités, voici le résultat :

Pour chaque vulnérabilité, vous avez un tableau détaillant le package concerné.

Pour en savoir plus sur les possibilités de npm audit, je vous recommande de lire la documentation officielle : https://docs.npmjs.com/cli/audit

ParSébastien HOUZET

Faille de sécurité Twig < 2.4.4 - Server Side Template Injection - CVE-2018-13818

Une nouvelle faille de sécurité a été découverte dans les version inférieur à 2.4.4 de Twig.

Il est possible d’injecer du code en GET/POST via le parametre search_key.

Le détail de la CVE : https://www.cvedetails.com/cve/CVE-2018-13818/

ParSébastien HOUZET

Let’s encrypt – Le certificat Wildcard arrive en janvier 2018

Encore une belle étape pour accélérer le déploiement du full HTTPS.

Let’s Encrypt sécurise actuellement 47 millions de domaines. Pour rappelle, Let’s encrypt est disponible en décembre 2015.

Les certificats Wildcard seront offerts gratuitement via l’API ACME v2.

Let's encrypt

Let’s encrypt