PySQLi. Framework d'injection de code SQL

Dimension: px
Commencer à balayer dès la page:

Download "PySQLi. Framework d'injection de code SQL"

Transcription

1 PySQLi Framework d'injection de code SQL Meeting #Hackerzvoice 3 novembre 2012

2 Plan (1/2) Les camés du SQL TOP 10 OWASP Rappels sur les injections Exploitations possibles Outils (non exhaustif) Sqlmap Havij Limitations Frameworks BBQSQL Limitations 2

3 Plan (2/2) PySQLi Historique Principe Exemple Exemples d'utilisation Formulaire anti-csrf Ligne de commande Injection via protocole spécifique Questions 3

4 Les camés du SQL TOP 10 OWASP Une des vulnérabilités les plus exploitées Leaks sur pastebin Différents dox Facile à exploiter Navigateur Cerveau 2.0 Peut aussi servir à faire plein d'autres choses Bypass d'authentification Elévation de privilèges Le café (naaah) 4

5 Injection SQL : rappels Différents modes d'exploitation Timing attack Inband (UNION SELECT...) Blind (dichotomie) Différents DBMS Oracle MSSQL MySQL Informix PostgreSQL

6 Exploitations possibles Extraction d'information Injection dans les paramètres (POST/GET) Injection dans les en-têtes HTTP Cookie User-Agent Injection dans les fichiers (via HTTP) Injection d'information Contournement d'authentification

7 Outils existant Sqlmap Très fourni Permet d'exploiter un bon nombre de pages vulnérables Supporte différentes options d'attaque Must-have du pentester Havij Outil Windows Click&Exploit Développé par des gens peu fiables Disponible sous forme d'exécutable, difficile de savoir ce qu'il fait N00b!

8 Outils : limitations Pratiques Dump automatique Test des paramètres vulnérables MAIS Inutilisable dans le cas d'exploitations difficiles Injection autre part que dans des requêtes HTTP impossible! Un framework serait plus utile

9 Frameworks BBQSQL Framework python Supporte plusieurs techniques d'injection PYTHON on vous dit! Limitations Déjà plus fourni Facilite le développement d'exploit On peut faire mieux?

10 PySQLi Python SQL injection framework Python c'est bon, mangez-en Facile à améliorer/étendre Compréhensible Historique En développement depuis 3 ans... Eprouvé en pentest Approche différente des frameworks actuels

11 PySQLi : origine Constat Identification par l'erreur ou le comportement Contexte d'injection généralement connu Besoin Développer des exploits avancés Sqlmap suffit dans la plupart des cas Quand sqlmap ne passe pas, c'est la misèèèère Développer rapidement Framework Python

12 PySQLi Principe Forge : moteur de génération de code SQL injecté Injecteur Trigger

13 Exemple Exploitation d'une injection via URL

14 Framework extensible Injection possible dans théoriquement n'importe quoi Ligne de commande Requêtes HTTP Protocoles réseau spéciaux (D)TC

15 Exemples d'utilisation Demos Formulaire avec anti-csrf Pas supporté par sqlmap Injection dans une ligne de commande idem! Injection dans un protocole d'authentification maison

16 Téléchargement Disponible sous github https://github.com/sysdream/pysqli/

17 Questions?id=' OR '1'='1

18 PySQLi Framework d'injection de code SQL Meeting #Hackerzvoice 3 novembre 2012

19 Plan (1/2) Les camés du SQL TOP 10 OWASP Rappels sur les injections Exploitations possibles Outils (non exhaustif) Sqlmap Havij Limitations Frameworks BBQSQL Limitations 2

20 Plan (2/2) PySQLi Historique Principe Exemple Exemples d'utilisation Formulaire anti-csrf Ligne de commande Injection via protocole spécifique Questions 3

21 Les camés du SQL TOP 10 OWASP Une des vulnérabilités les plus exploitées Leaks sur pastebin Différents dox Facile à exploiter Navigateur Cerveau 2.0 Peut aussi servir à faire plein d'autres choses Bypass d'authentification Elévation de privilèges Le café (naaah) 4

22 Injection SQL : rappels Différents modes d'exploitation Timing attack Inband (UNION SELECT...) Blind (dichotomie) Différents DBMS Oracle MSSQL MySQL Informix PostgreSQL

23 Exploitations possibles Extraction d'information Injection dans les paramètres (POST/GET) Injection dans les en-têtes HTTP Cookie User-Agent Injection dans les fichiers (via HTTP) Injection d'information Contournement d'authentification

24 Outils existant Sqlmap Très fourni Permet d'exploiter un bon nombre de pages vulnérables Supporte différentes options d'attaque Must-have du pentester Havij Outil Windows Click&Exploit Développé par des gens peu fiables Disponible sous forme d'exécutable, difficile de savoir ce qu'il fait N00b!

25 Outils : limitations Pratiques Dump automatique Test des paramètres vulnérables MAIS Inutilisable dans le cas d'exploitations difficiles Injection autre part que dans des requêtes HTTP impossible! Un framework serait plus utile

26 Frameworks BBQSQL Framework python Supporte plusieurs techniques d'injection PYTHON on vous dit! Limitations Déjà plus fourni Facilite le développement d'exploit On peut faire mieux?

27 PySQLi Python SQL injection framework Python c'est bon, mangez-en Facile à améliorer/étendre Compréhensible Historique En développement depuis 3 ans... Eprouvé en pentest Approche différente des frameworks actuels

28 PySQLi : origine Constat Identification par l'erreur ou le comportement Contexte d'injection généralement connu Besoin Développer des exploits avancés Sqlmap suffit dans la plupart des cas Quand sqlmap ne passe pas, c'est la misèèèère Développer rapidement Framework Python

29 PySQLi Principe Forge : moteur de génération de code SQL injecté Injecteur Trigger

30 Exemple Exploitation d'une injection via URL

31 Framework extensible Injection possible dans théoriquement n'importe quoi Ligne de commande Requêtes HTTP Protocoles réseau spéciaux (D)TC

32 Exemples d'utilisation Demos Formulaire avec anti-csrf Pas supporté par sqlmap Injection dans une ligne de commande idem! Injection dans un protocole d'authentification maison

33 Téléchargement Disponible sous github https://github.com/sysdream/pysqli/

34 Questions?id=' OR '1'='1

SQL MAP. Etude d un logiciel SQL Injection

SQL MAP. Etude d un logiciel SQL Injection Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil

Plus en détail

Procédure de migration vers MySQL

Procédure de migration vers MySQL Procédure de migration vers MySQL Etude et réalisation d une solution de migration d une base de données ORACLE vers un système libre PostgreSQL ou MySQL. Réf. : Procédure de migration MySQL V1.0 Projet

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

Formation en Logiciels Libres. Fiche d inscription

Formation en Logiciels Libres. Fiche d inscription République Tunisienne Ministère de l'industrie et la Technologie - Secrétariat d'état de la Technologie Unité des Logiciels Libres Formation en Logiciels Libres Fiche d inscription (Une fiche par candidat)

Plus en détail

Découverte Audit Attaque

Découverte Audit Attaque D epuis l'augmentation de l'importance d'internet dans la vie quotidienne de nombreuses personnes, la sécurité des sites web reste plus que jamais une inquiétude majeure. W3AF ou Web Application Attack

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Vulnérabilités logicielles Injection SQL

Vulnérabilités logicielles Injection SQL MGR850 Hiver 2014 Vulnérabilités logicielles Injection SQL Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan SQL Injection SQL Injections

Plus en détail

BTS S.I.O. 2012-2013 PHP OBJET. Module SLAM4. Nom du fichier : PHPRévisionObjetV2.odt Auteur : Pierre Barais

BTS S.I.O. 2012-2013 PHP OBJET. Module SLAM4. Nom du fichier : PHPRévisionObjetV2.odt Auteur : Pierre Barais BTS S.I.O. 2012-2013 PHP OBJET Module SLAM4 Nom du fichier : PHPRévisionObjetV2.odt Auteur : Pierre Barais Table des matières 1 But... 3 2 Les bases :... 3 3 Utilisation d'une classe : Instanciation...3

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Mercredi 15 Janvier 2014

Mercredi 15 Janvier 2014 De la conception au site web Mercredi 15 Janvier 2014 Loïc THOMAS Géo-Hyd Responsable Informatique & Ingénierie des Systèmes d'information loic.thomas@anteagroup.com 02 38 64 26 41 Architecture Il est

Plus en détail

Applications orientées données (NSY135)

Applications orientées données (NSY135) Applications orientées données (NSY135) 2 Applications Web Dynamiques Auteurs: Raphaël Fournier-S niehotta et Philippe Rigaux (philippe.rigaux@cnam.fr,fournier@cnam.fr) Département d informatique Conservatoire

Plus en détail

Symfony 2. 1.Définition de symfony 2. 2.Installation. 3.Structure. 4.Symfony et les commandes

Symfony 2. 1.Définition de symfony 2. 2.Installation. 3.Structure. 4.Symfony et les commandes Symfony 2 Sommaire : 1.Définition de symfony 2 2.Installation 3.Structure 4.Symfony et les commandes 5.Le fonctionnement : le routeur (les url), les bundles, twig(templates) 6.L architecture de symfony2

Plus en détail

TSI-V5 Manuel d installation

TSI-V5 Manuel d installation TSI-V5 Manuel d installation 1 Sommaire Introduction... 3 Pré-requis... 3 Installation SQL SERVER 2008... 3 Introduction... 3 Installation... 3 Prise en main... 7 Application TSI... 9 Premier démarrage

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

Les injections NoSQL JSSI 2012

Les injections NoSQL JSSI 2012 Les injections NoSQL JSSI 2012 AGENDA NoSQL? Attaques d injection NoSQL Injection NoSQL en aveugle Protection Synthèse NOSQL? Une multitude de technologies NOSQL? Une multitude d acteurs NOSQL? Objectif

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE

INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE Le responsable de la société Itaste utilise une application installée sur son poste : elle est programmée en VBA sous Microsoft Access et pourvue d une

Plus en détail

Evolutions du Web et des langages

Evolutions du Web et des langages Evolutions du Web Evolutions du Web et des langages WEB statique Ces pages sont écrites en HTML Les pages demandées sont identiques quelque soit La personne qui les demande L heure de la demande Etc. WEB

Plus en détail

PHP et MySQL : notions de sécurité

PHP et MySQL : notions de sécurité PHP et MySQL : notions de sécurité Jean-Baptiste.Vioix@u-bourgogne.fr Dans ces quelques lignes des notions de sécurité élémentaires vont être présentées. Elles sont insuffisantes pour toute application

Plus en détail

Pré-requis. Objectifs. A. Les mises à jour Windows (Windows Update) Page 322 Chapitre 5

Pré-requis. Objectifs. A. Les mises à jour Windows (Windows Update) Page 322 Chapitre 5 Page 322 Chapitre 5 Windows Pré-requis et objectifs 7 - Technicien Support pour postes de travail en entreprise Pré-requis Identifier et résoudre les problèmes de sécurité Connaissance d'un système d'exploitation

Plus en détail

Les formations. Développeur Logiciel. ENI Ecole Informatique

Les formations. Développeur Logiciel. ENI Ecole Informatique page 1/5 Titre professionnel : Reconnu par l Etat de niveau III (Bac), inscrit au RNCP (arrêté du 12/10/07, J.O. n 246 du 23/10/07) (32 semaines) Unité 1 : Structurer une application 6 semaines Module

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Linux....................................................................

Plus en détail

Les Wikis. Matthieu Herrb. Capitoul, 27 Juin 2006 LAAS-CNRS

Les Wikis. Matthieu Herrb. Capitoul, 27 Juin 2006 LAAS-CNRS Les Wikis Matthieu Herrb LAAS-CNRS Capitoul, 27 Juin 2006 Plan 1 Introduction 2 Décorticage d un Wiki 3 Quelques moteurs de Wiki 4 Wiki & sécurité 5 Conclusion Plan 1 Introduction 2 Décorticage d un Wiki

Plus en détail

Protéger son site web des attaques Sql Injection

Protéger son site web des attaques Sql Injection 13 Protéger son site web des attaques Sql Injection LES BONNES PRATIQUES en sécurité de l information 1 PROTÉGER SON SITE WEB DES ATTAQUES SQL INJECTION Les attaques de type injection sont considérées

Plus en détail

Leçon 0 : Introduction au développement web

Leçon 0 : Introduction au développement web Module : Atelier programmation n- tiers Atelier de TP : N 0 Durée : 6h Groupes : M31- M32 Leçon 0 : Introduction au développement web NB : Ce document est un support de cours (notes de cours) : ce n'est

Plus en détail

PHP & BD. PHP & Bases de données. Logiciels & matériels utilisés. Bases de données et Web

PHP & BD. PHP & Bases de données. Logiciels & matériels utilisés. Bases de données et Web PHP & Bases de données La quantité de données utilisée par certains sites web nécessite l'utilisation d'une base de données Il faut donc disposer d'un SGBD (mysql, postgresql, oracle, ) installé sur un

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2012-2013

Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2012-2013 Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2012-2013 8 et 9 avril 2013 IBM Client Center Paris, Bois-Colombes S30 - IBM i Access for Web et requêtes

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 Les webshells, ou comment ouvrir les portes de son réseau?

Plus en détail

Thème : Gestion commerciale

Thème : Gestion commerciale Département Génie Informatique BD40 Ingénierie des systèmes d information TP 4 : Ms/Access : Listes déroulantes, Formulaires avancés Thème : Gestion commerciale Christian FISCHER Copyright Novembre 2005

Plus en détail

INFORMATIQUE & WEB. PARCOURS CERTIFICAT PROFESSIONNEL Programmation de sites Web. 1 an 7 MODULES. Code du diplôme : CP09

INFORMATIQUE & WEB. PARCOURS CERTIFICAT PROFESSIONNEL Programmation de sites Web. 1 an 7 MODULES. Code du diplôme : CP09 INFORMATIQUE & WEB Code du diplôme : CP09 Passionné par l informatique et le web, vous souhaitez obtenir une certification dans un domaine porteur et enrichir votre CV? PARCOURS CERTIFICAT PROFESSIONNEL

Plus en détail

Manuel fournisseur : procédure pour prendre connaissance d une consultation en ligne et soumettre une offre. Version de février 2014 SNCF

Manuel fournisseur : procédure pour prendre connaissance d une consultation en ligne et soumettre une offre. Version de février 2014 SNCF Manuel fournisseur : procédure pour prendre connaissance d une consultation en ligne et soumettre une offre Version de février 2014 SNCF Introduction Ce document a pour objectif : De vous présenter, pas

Plus en détail

PHP/MYSQL. Web Dynamique

PHP/MYSQL. Web Dynamique PHP/MYSQL Web Dynamique ENSG Juin 2008 Qui suis-je? Guillaume Gautreau Responsable projets Systèmes d information à l ENPC guillaume@ghusse.com http://www.ghusse.com Ces 6 jours de formation Jour 1 : présentations,

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

INTRODUCTION. Utiliser ce livre à 100 % INTRODUCTION

INTRODUCTION. Utiliser ce livre à 100 % INTRODUCTION INTRODUCTION INTRODUCTION Utiliser ce livre à 100 % PHP, MySQL, XHTML... 9 Erreur méthodologique majeure à éviter... 11 Enjeu stratégique : automatiser le référencement... 12 Organisation de cet ouvrage...

Plus en détail

GS-Days 2011. WebScarab Développement de nouveaux modules pour les tests d intrusion

GS-Days 2011. WebScarab Développement de nouveaux modules pour les tests d intrusion 1 GS-Days 2011 WebScarab Développement de nouveaux modules pour les tests d intrusion Jérémy Lebourdais EdelWeb (jeremy.lebourdais@edelweb.fr) 2 Introduction Présentation de WebScarab Développements réalisés

Plus en détail

Sauvegarde des bases SQL Express

Sauvegarde des bases SQL Express Sauvegarde des bases SQL Express Sauvegarder les bases de données avec SQL Express Dans les différents articles concernant SQL Server 2005 Express Edition, une problématique revient régulièrement : Comment

Plus en détail

CREATION WEB DYNAMIQUE

CREATION WEB DYNAMIQUE CREATION WEB DYNAMIQUE IV ) MySQL IV-1 ) Introduction MYSQL dérive directement de SQL (Structured Query Language) qui est un langage de requêtes vers les bases de données relationnelles. Le serveur de

Plus en détail

Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012

Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012 web client Magali Contensin 25 octobre 2012 ANF Dev Web ASR Carry-Le-Rouet Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX Visibilité du

Plus en détail

C e r t i f i c a t I n f o r m a t i q u e e t I n t e r n e t

C e r t i f i c a t I n f o r m a t i q u e e t I n t e r n e t Certificat Informatique et Internet Internet Historique 1960's : ARPAnet / susa 1970's : X25 / Europe 1981 : La France lance le minitel 1990 : ARPAnet devient Internet 1991 : World Wide Web Hypertexte

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Conception de Base de Données Explication sur la Conception de Base de Données

Conception de Base de Données Explication sur la Conception de Base de Données Conception de Base de Données Explication sur la Conception de Base de Données Introduction A la vue de plusieurs questions sur les bases de données, et surtout la conception du schéma de base. En effet,

Plus en détail

Choisir son Framework CRUD : retours d'expériences. Présentation du framework web open-source FuelPHP

Choisir son Framework CRUD : retours d'expériences. Présentation du framework web open-source FuelPHP Choisir son Framework CRUD : retours d'expériences Présentation du framework web open-source FuelPHP Mercredi 20 novembre 2013 jean-baptiste.barreau@univ-rennes1.fr I Présentation/Contexte du projet 1.

Plus en détail

Rappel sur FTP Relation entre un site Web et FTP Préparation et Installation de FTP. Edy Joachim,

Rappel sur FTP Relation entre un site Web et FTP Préparation et Installation de FTP. Edy Joachim, Rappel sur FTP Relation entre un site Web et FTP Préparation et Installation de FTP Gestion de site FTP Edy Joachim, FTP, c est quoi? File Transfer Protocol (protocole de transfert de fichiers) Protocole

Plus en détail

Microsoft TechNet - Les End Points ou points de terminaison

Microsoft TechNet - Les End Points ou points de terminaison Page 1 sur 5 Plan du site Accueil International Rechercher sur Microsoft France : Ok Accueil TechNet Produits & Technologies Solutions IT Sécurité Interoperabilité Déploiement des postes de travail Scripting

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

dante cms v. 4.6 Vue d'ensemble des fonctions

dante cms v. 4.6 Vue d'ensemble des fonctions dante cms v. 4.6 Vue d'ensemble des fonctions Juillet 2010.:a3 systems GmbH Saarbrücker Straße 51. D- 66130 Saarbrücken Tel : 00 49 681 988 18 0. Fax : 00 49 681 988 18 29 Web : www.a3systems.com E-Mail

Plus en détail

Le serveur d'application web Une Idée Derrière l'ecran! ZOPE et un exemple PLONE.

Le serveur d'application web Une Idée Derrière l'ecran! ZOPE et un exemple PLONE. Le serveur d'application web Une Idée Derrière l'ecran! ZOPE et un exemple PLONE. Présentation Zope est un serveur d'application web orienté objet libre écrit dans le langage de programmation Python. Il

Plus en détail

Installer la base de données Test d Oracle - ORCL

Installer la base de données Test d Oracle - ORCL Installer la base de données Test d Oracle - ORCL Nous vous présentons la méthode pour installer la base de données de «test Oracle» expliquer par des énchaînements d'écrans et disponible dans les sources

Plus en détail

PostgreSQL : deux projets satellites

PostgreSQL : deux projets satellites pgloader et prefix 29 janvier 2008 Organisation du projet PostgreSQL core, contribs et pgfoundry 1 Développement central, -core 2 Projets proches du coeur, contribs 3 Projets annexes, pgfoundry ou sourceforge

Plus en détail

Supervision et infrastructure - Accès aux bases de données. Document FAQ. Page: 1 / 13 Dernière mise à jour: 17/03/15 20:19

Supervision et infrastructure - Accès aux bases de données. Document FAQ. Page: 1 / 13 Dernière mise à jour: 17/03/15 20:19 Document FAQ Supervision et infrastructure - Accès aux EXP Page: 1 / 13 Table des matières Introduction... 3 DB2... 4 I.Ports... 4... 4 HANA... 5 I.Ports... 5... 5 SAP MaxDB... 6 I.Ports... 6... 6 MS SQL...

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST. 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST. 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr $ WHOAMI Julien Lavesque ü Directeur technique ITrust ü Consultant Sécurité depuis 10 ans ü

Plus en détail

TAS. Le Terrible Audit de Sécurité

TAS. Le Terrible Audit de Sécurité TAS Le Terrible Audit de Sécurité Ordre du jour Identifier les objectifs de sécurité Préparer un référentiel Vérifier la sécurité de son code Qui parle? Damien Seguy Verbicruciste Alter Way Consulting

Plus en détail

Fournir un accès rapide à nos données : agréger au préalable nos données permet de faire nos requêtes beaucoup plus rapidement

Fournir un accès rapide à nos données : agréger au préalable nos données permet de faire nos requêtes beaucoup plus rapidement Introduction Phases du projet Les principales phases du projet sont les suivantes : La mise à disposition des sources Des fichiers Excel sont utilisés pour récolter nos informations L extraction des données

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Windows.................................................................

Plus en détail

INITIATION ENVIRONNEMENT WINDOWS / 1 er Niveau Module du Brevet Informatique et Internet / B2I

INITIATION ENVIRONNEMENT WINDOWS / 1 er Niveau Module du Brevet Informatique et Internet / B2I INITIATION ENVIRONNEMENT WINDOWS / 1 er Niveau Module du Brevet Informatique et Internet / B2I Aucun Etre capable d utiliser les notions de base du logiciel d exploitation d un ordinateur :Windows 98 -

Plus en détail

GUIDE D UTILISATION DE LA PLATEFORME D ENVOI DE COURRIELS

GUIDE D UTILISATION DE LA PLATEFORME D ENVOI DE COURRIELS GUIDE D UTILISATION DE LA PLATEFORME D ENVOI DE COURRIELS Table des matières Présentation de la plateforme d envoi de courriels... 4 1- Gestion des contacts... 5 1.1. Base de données... 5 1.1.1- Création

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

les techniques d'extraction, les formulaires et intégration dans un site WEB

les techniques d'extraction, les formulaires et intégration dans un site WEB les techniques d'extraction, les formulaires et intégration dans un site WEB Edyta Bellouni MSHS-T, UMS838 Plan L extraction des données pour un site en ligne Architecture et techniques Les différents

Plus en détail

ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D INFORMATION?

ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D INFORMATION? F O R M A T I O N H I G H L E V E L PROGRAMME ET METHODES RUSSES ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D IN? Ethical Hackers - Experts Sécurité I N F O R M AT I O N S E C U R I T Y

Plus en détail

Présentation d UnivAbsences Par MONJAL Guillaume, LAURENT Corentin, RAFAILLAC Maxime, RAOULT Benoit

Présentation d UnivAbsences Par MONJAL Guillaume, LAURENT Corentin, RAFAILLAC Maxime, RAOULT Benoit Gestion des absences de l Université d Angers Présentation d UnivAbsences Par MONJAL Guillaume, LAURENT Corentin, RAFAILLAC Maxime, RAOULT Benoit 1 POURQUOI? Pourquoi ce sujet? Sans ce projet Gestion des

Plus en détail

Systèmes de Gestion de Contenu

Systèmes de Gestion de Contenu Introduction aux de site Web Master 1 CAWEB Page 1/7 Introduction Définition CMS Content Management Systems : logiciels de conception et de mise à jour dynamique de site web ou d'application multimédia

Plus en détail

Headers, cookies et sessions

Headers, cookies et sessions Headers, cookies et sessions Chargement de fichiers (upload) Entêtes HTTP et redirections Gestion des cookies et des sessions de connexions Authentification Validation des données Programmation avancée

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Sécurisation d une application ASP.NET

Sécurisation d une application ASP.NET Sécurisation d une application ASP.NET 1- Authentification L authentification est un processus essentiel à la sécurisation d une application internet. Ce processus permet d authentifier l entité à l origine

Plus en détail

PostgreSQL. Formations. Catalogue 2011. Calendrier... 8

PostgreSQL. Formations. Catalogue 2011. Calendrier... 8 Formations PostgreSQL Catalogue 2011 Administration PostgreSQL... 2 PostgreSQL Avancé... 3 PostgreSQL Réplication : Hot Standby... 4 Développer avec PostgreSQL... 5 Migration Oracle vers PostgreSQL...

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

1 Introduction... 17. 2 Ma première page PHP... 25. 3 Les clefs du PHP... 53

1 Introduction... 17. 2 Ma première page PHP... 25. 3 Les clefs du PHP... 53 1 Introduction... 17 1.1. Naissance de ce langage... 18 1.2. Evolution du langage... 18 1.3. Intérêt de ce langage... 19 La liberté... 19 La portabilité... 20 La facilité... 21 Un peu d histoire... 21

Plus en détail

Comment stocke-t-on des données sur un site web?

Comment stocke-t-on des données sur un site web? Comment stocke-t-on des données sur un site web? Sommaire I. Introduction aux bases de données II. III. Structure d une base de données Administrer la base avec PHPMyadmin IV. Le langage SQL Pourquoi stocker

Plus en détail

Comparaison Entre la technologie «TAG» et l analyse de fichiers logs

Comparaison Entre la technologie «TAG» et l analyse de fichiers logs Comparaison Entre la technologie «TAG» et l analyse de fichiers logs Laurent Patureau Co-fondateur d IDfr Editeur de Wysistat 16, Boulevard Winston CHURCHILL 25 000 BESANCON Tel : 03 81 48 03 05 Fax :

Plus en détail

Jusqu à 14 h : Open Questions! On vous explique ce que vous n avez pas compris lors de la première formation.

Jusqu à 14 h : Open Questions! On vous explique ce que vous n avez pas compris lors de la première formation. Bienvenue! Jusqu à 14 h : Open Questions! On vous explique ce que vous n avez pas compris lors de la première formation. Téléchargez les logiciels nécessaires pour cette formation : http ://formation-web.via.ecp.fr

Plus en détail

FTP (File Transfer Protocol) pour

FTP (File Transfer Protocol) pour FTP (File Transfer Protocol) pour Windows ftp-intro FTP (File Transfer Protocol) pour Windows Code: ftp-intro Originaux url: http://tecfa.unige.ch/guides/tie/html/ftp-intro/ftp-intro.html url: http://tecfa.unige.ch/guides/tie/pdf/files/ftp-intro.pdf

Plus en détail

Une famille d'applications permettant à toute organisation d'optimiser le suivi et la gestion de ses ressources internes vous présente

Une famille d'applications permettant à toute organisation d'optimiser le suivi et la gestion de ses ressources internes vous présente Editeur de progiciels Une famille d'applications permettant à toute organisation d'optimiser le suivi et la gestion de ses ressources internes vous présente Logiciel de gestion optimisation de vos espaces

Plus en détail

ARTICLE : élément de «base» contenant texte et ressources diverses. Peut avoir plusieurs statuts (visible ou non publiquement, entre autres),

ARTICLE : élément de «base» contenant texte et ressources diverses. Peut avoir plusieurs statuts (visible ou non publiquement, entre autres), Terminologie ARTICLE : élément de «base» contenant texte et ressources diverses. Peut avoir plusieurs statuts (visible ou non publiquement, entre autres), RUBRIQUE : contenant d'articles et/ou de rubriques

Plus en détail

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité NOS MODULES D AUDIT Analyse - Accompagnement - Sérénité - Sécurité Audit Technique Audit des serveurs Mise à jour, vulnérabilités classiques Respect des politiques de mots de passe Contrôle des accès à

Plus en détail

Le S.I.M. Le S.I.M. Définition a. S.I.M. ou S.I.C. S.I.M. S.I.C. Le S.I.M. Définition a. S.I.M. ou S.I.C. Définition

Le S.I.M. Le S.I.M. Définition a. S.I.M. ou S.I.C. S.I.M. S.I.C. Le S.I.M. Définition a. S.I.M. ou S.I.C. Définition Le S.I.M. Définition a. S.I.M. ou S.I.C. b. Utilisation commerciale c. Contenu Forme Méthode Sources d information a. S.I.M. ou S.I.C. ou S.I.M. S.I.C. Système d Information Marketing Système d Information

Plus en détail

Boostez vos développements Symfony avec PHPEdit

Boostez vos développements Symfony avec PHPEdit Boostez vos développements Symfony avec PHPEdit Sébastien Hordeaux, WaterProof http://www.phpedit.com A propos de moi Créateur de PHPEdit en 1999 Fondateur de WaterProof en 2004 Tous nos projets internes

Plus en détail

Moteur de réplication de fichiers BackupAssist

Moteur de réplication de fichiers BackupAssist Moteur de réplication de fichiers BackupAssist Cortex I.T. Labs 2001-2010 Sommaire Introduction... 2 Single Instance Store... 2 Avantages par rapport aux méthodes de copie traditionnelles... 2 Modes de

Plus en détail

Réplication E-maj Foreign Data Wrapper PostGIS PostgreSQL-f

Réplication E-maj Foreign Data Wrapper PostGIS PostgreSQL-f PGDay Réplication E-maj Foreign Data Wrapper PostGIS PostgreSQL-f Réplication Réplications, disponibilités, durabilités Evolution dans la base de données : Postgres 8.2 : warm standby Postgres 9.0 : hot

Plus en détail

Outils d Accès aux Données d un PLC Automate Web Access (AWA)

Outils d Accès aux Données d un PLC Automate Web Access (AWA) AB-Note- 2004-020(CO) 20/01/2004 Outils d Accès aux Données d un PLC Automate Web Access (AWA) Auteurs : Julien Palluel, Raymond Brun Keywords : Automate, Dialoge, SCHNEIDER, SIEMENS, PHP, Web, Modbus,

Plus en détail

Création d un catalogue en ligne

Création d un catalogue en ligne 5 Création d un catalogue en ligne Au sommaire de ce chapitre Fonctionnement théorique Définition de jeux d enregistrements Insertion de contenu dynamique Aperçu des données Finalisation de la page de

Plus en détail

XSS Easy Exploitation Kernel Framework d exploitation pour pentesters

XSS Easy Exploitation Kernel Framework d exploitation pour pentesters XSS Easy Exploitation Kernel Framework d exploitation pour pentesters Emilien Girault (Trance) trance@ghostsinthestack.org / e.girault@sysdream.com Twitter : @emiliengirault www.segmentationfault.fr /

Plus en détail

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion J. Hennecart Serval-Concept Lundi 23 février 2015 J. Hennecart des injections SQL sont des vulnérabilités permettant de faire exécuter des commandes, non prévues initialement, à une base de données. La

Plus en détail

Support Tip - Avril 2011 - Comment connecter et utiliser une base de donnée avec Altium Designer

Support Tip - Avril 2011 - Comment connecter et utiliser une base de donnée avec Altium Designer Support Tip - Avril 2011 - Comment connecter et utiliser une base de donnée avec Altium Designer Avril 2011 Question: Comment connecter et utiliser une base de donnée avec Altium Designer 10? Résumé: Les

Plus en détail

Cahier de charges (Source : "Java EE - Guide de développement d'applications web en Java" par Jérôme Lafosse) Module. Site Web dynamique JSP / Servlet

Cahier de charges (Source : Java EE - Guide de développement d'applications web en Java par Jérôme Lafosse) Module. Site Web dynamique JSP / Servlet Cahier de charges (Source : "Java EE - Guide de développement d'applications web en Java" par Jérôme Lafosse) Module Site Web dynamique JSP / Servlet Sujet : betaboutique Soutenance le 04 / 01 /2013 &

Plus en détail

OWASP ASVS Application Security Verification Standard. Antonio Fontes Chapter Meeting - 19 octobre 2015 OWASP Geneva Chapter

OWASP ASVS Application Security Verification Standard. Antonio Fontes Chapter Meeting - 19 octobre 2015 OWASP Geneva Chapter OWASP ASVS Application Security Verification Standard Antonio Fontes Chapter Meeting - 19 octobre 2015 OWASP Geneva Chapter Bio Antonio Fontes Sécurité et protection des données dans les opérations de

Plus en détail

TD1. Installation de Symfony 2 et Netbeans

TD1. Installation de Symfony 2 et Netbeans I - Introduction : TD1 Installation de Symfony 2 et Netbeans L objet de ce TP est d installer l environnement de travail. Nous commençons par définir des notions de base nécessaires pour comprendre la

Plus en détail

FICHE DE POSTE SIGNALETIQUE DU POSTE

FICHE DE POSTE SIGNALETIQUE DU POSTE Famille : SYSTEMES D INFORMATION Sous-famille : SUPPORT ET EPLOITATION Libellé métier : EPLOITANT(E) RESEAU Code métier : 35L20 INTITULE DU METIER (à partir du RMFPH) Spécificité dans le métier EVENTUELLE

Plus en détail

Connecter les ordinateurs de votre réseau

Connecter les ordinateurs de votre réseau Chapitre 5 Connecter les ordinateurs de votre réseau Après avoir installé Windows Home Server 2011, la première tâche à réaliser consiste à connecter à votre serveur chaque ordinateur de votre réseau domestique.

Plus en détail

DOCUMENTATION MISE A JOUR ANTIBIOGARDE. V4.0 en v4.1

DOCUMENTATION MISE A JOUR ANTIBIOGARDE. V4.0 en v4.1 DOCUMENTATION MISE A JOUR ANTIBIOGARDE V4.0 en v4.1 Version d Antibiogarde 4.1 Version du document 1.0 Date dernière mise à jour du document 15/06/2010 Retrouvez cette doc à jour sur : http://www.antibiogarde.org/activation/

Plus en détail

Documentation d'installation Kimios Bundle Deployer

Documentation d'installation Kimios Bundle Deployer Documentation d'installation Kimios Bundle Deployer Pré-requis Les informations contenues dans ce document sont sujettes à modification sans préavis. Si vous avez besoin de soutien technique pour ce produit

Plus en détail

DendroDIF. Sujet : Procédure d installation de DendroDIF pour utilisateur hors MRNF. Version 1.7. Date de dernière révision : 2013-05-29

DendroDIF. Sujet : Procédure d installation de DendroDIF pour utilisateur hors MRNF. Version 1.7. Date de dernière révision : 2013-05-29 Sujet : Version 1.7 Date de dernière révision : 2013-05-29 Historique des modifications Version Date Description 0.5 31 mars 2009 Création initiale 0.6 27 avril 2009 Intégration des premiers commentaires

Plus en détail

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC 2013. Francisco. Juin 2013 LEXFO 1

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC 2013. Francisco. Juin 2013 LEXFO 1 Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC 2013 Francisco Juin 2013 LEXFO 1 Plan Introduction Méthodologie Exploitation Démo Conclusion Juin 2013 LEXFO 2 Introduction

Plus en détail

Un portail-cdi avec Google.

Un portail-cdi avec Google. Un portail-cdi avec Google. Le moteur de recherche Google, tout le monde connaît. Mais Google c est aussi un ensemble de services souvent gratuits tels qu une messagerie (Gmail), un agenda en ligne, la

Plus en détail