Archives de l’auteur : Mickael FRANC

À propos Mickael FRANC

DevOps at Sentryo from Lyon (FR) - Curious & enthusiast about IT security (@OWASP) - Archlinux - Golang, C++, Bash, Symfony2 - Paragliding remaining time..

Scenario I : Common network attacks & prevent

Logo OWASPMa 1ère réunion technique qui me tardait de présenter pour aborder un autre sujet que les failles applicatives : les attaques réseaux type « Man in the Middle ». Dans cette présentation j’aborde de bout en bout le scénario d’attaque imaginé. A la clé : Attaque ARP/DNS Spoofing via Ettercap, Modification de trame réseau en temps réel via Etterfilter, injection de ma backdoor avec chiffrement AES, By-Pass SSL via SslStrip, et détection via le NIDS Snort.

Continuer la lecture

OWASP / Local-Remote File Inclusion (LFI / RFI) & PHP Shellcoding

LFI & RFI

Dans ce quatrième article de la série consacrée aux failles applicatives, j’aborde les failles LFI et RFI au travers de l’OWASP. Vous découvrirez ces failles et apprendrez à les détecter. Vous verrez enfin les moyens de vous en prémunir.
Continuer la lecture

OWASP / Cross-site request forgery (CSRF ou XSRF)

CSRF / XSRFDans ce troisième article de la série consacrée aux failles applicatives, j’aborde les failles CSRF au travers de l’OWASP. Vous découvrirez ces failles et apprendrez à les détecter. Vous verrez enfin les moyens de vous en prémunir.

Continuer la lecture

OWASP / Cross-Site Scripting (XSS)

XSSDans ce deuxième article de la série consacrée aux failles applicatives, j’aborde les injections XSS au travers de l’OWASP. Vous découvrirez ces failles et apprendrez à les détecter. Vous verrez enfin les moyens de vous en prémunir.
Continuer la lecture

OWASP / Injections SQL

Injections SQL (iSQL)Dans ce premier article de la série consacrée aux failles applicatives, j’aborde les injections SQL au travers de l’OWASP.

Dans la plupart des systèmes d’information des « entrées utilisateurs » sont permises pour consulter ou altérer des données issues d’une base quelconque. Cette entrée utilisateur est un vecteur d’attaque qu’il faut prendre en considération lors de la réalisation de notre application pour s’affranchir de la menace par injections.
Une grande majorité des SI utilise des bases de données de type relationnelles avec pour langage interprété le SQL. C’est donc sur ces types d’injections que portera cet article.
Continuer la lecture

Failles applicatives

Logo OWASPPrécédemment, j’ai souhaité par le biais de l’article La sécurité au travers de l’OWASP amener une première réflexion sur la sécurité applicative au travers du guide OWASP. J’aimerais cette fois-ci aller plus loin et détailler un certain nombre de vulnérabilités. Cet article fera office de préface et référencera tous les articles sur ce thème.
Continuer la lecture

La sécurité au travers de l’OWASP

The Open Web Application Security ProjectLa qualité d’une application web est intrinsèquement liée à la sécurité de cette dernière, c’est pourquoi nous avons décidé de vous faire une introduction sur l’OWASP et quelques concepts sur la sécurité applicative.
Continuer la lecture