Archive de l’étiquette Sécurité

ParSébastien HOUZET

Choisir un pare-feu applicatif Web (WAF) devient incontournable

Le pare-feu web est devenu un incontournable pour protéger vos applications web exposées sur internet.

Les pirates ont de plus en plus recours à attaquer des applications web permettant de voler de données ou d’utiliser l’application de manière détournée.

La sécurisation de l’infrastructure n’est plus suffisante, les firewalls réseau ne protègent pas vos applications. Les systèmes de sécurité classique comme firewalls ou systèmes de prévention des intrusions (IPS) ne détectent pas les tentatives sur les applications web.

Les fuites de données suite à des attaques d’applications Web se multiplient, passant de 7 % en 2015 à 40 % en 2017.

Les entreprises doivent envisager le déploiement d’un pare-feu applicatif Web (WAF).

Un WAF offre une protection contre les attaques sur la couche 7, notamment les attaques dites d’injection (comme l’injection SQL), le cross-site scripting (XSS), le détournement de sessions (session hijacking) et autres attaques Web.

Source : https://www.solutions-numeriques.com

ParSébastien HOUZET

Vérifiez les failles de sécurité sur les package npm

Lors de la conception d’application, nous utilisons de plus en plus de packages externe.

Malheureusement, la plupart du temps, personne ne contrôle si les packages sont à jour. Le code marche très bien, alors pourquoi faire la mise à jour d’un package externe.

Votre application marche certainement très bien avec les versions des packages utilisés, mais il y a peut-être des failles de sécurité à corriger !

npm propose une commande très simple permettant de vérifier les failles de sécurités dans vos packages. Pour cela, vous rendre dans un dossier avec un fichier package.json ou package-lock.json. Lancer ensuite la commande suivant dans votre terminal.

# npm audit

Si vous n’avez aucune vulnérabilité, voici le résultat :

Si vous avez des vulnérabilités, voici le résultat :

Pour chaque vulnérabilité, vous avez un tableau détaillant le package concerné.

Pour en savoir plus sur les possibilités de npm audit, je vous recommande de lire la documentation officielle : https://docs.npmjs.com/cli/audit

ParSébastien HOUZET

Prestashop faille de sécurité 2018 sur les sessions et cookies

Les utilisateurs de PrestaShop ont été invités à passer à la dernière version après la découverte d’une faille dans la manière dont la plate-forme e-commerce gère les données de session.

Le bogue, découvert par Ambionics Security et détaillé dans un article technique plus tôt cette semaine, pourrait permettre à un attaquant de prendre le contrôle de toute session client, de voler des données commerciales ou d’avoir un accès total au panneau administrateur.

Selon Charles Fol d’Ambionics, au lieu d’utiliser l’ID de session PHP habituel et de stocker des données localement, il s’est avéré que PrestaShop stockait les données de session dans un cookie sans chiffrement adéquat et sans signature cryptographique.

“Pour que le cookie ne soit pas altéré, une somme de contrôle est ajoutée et le tout est alors chiffré”, a noté Fol.

“Le processus est défectueux et permet aux pirates de lire et d’écrire des données de session et donc de détourner des sessions de clients ou d’employés, ce qui entraîne un contrôle partiel ou complet du site.”

La société a été alertée de la vulnérabilité en mai et a résolu le problème dans les versions 1.6.1.20 et 1.7.3.4.