Problèmes rencontrés
|
|
- Valentine Ringuette
- il y a 7 ans
- Total affichages :
Transcription
1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Problèmes rencontrés dans les applications des entreprises Séminaire ELCA La sécurité des applications sur Internet : problèmes et solutions Lausanne, 27 novembre 2008 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
2 Sommaire Introduction Méthodologie Conséquences Mauvaises configurations Injections SQL XSS Contrôle en entrée A Contrôle en sortie A Mauvaise programmation Frameworks Combinaisons Conclusion 2
3 Introduction HSC Société de conseil, d'expertise et d'audit en SSI depuis 1989 Environ 20/25 personnes Objectif Retour d'expérience Vulnérabilités rencontrées lors des audits de sécurité et tests d'intrusion Sur les applications d'entreprise Toute les applications sont accessibles en web depuis un butineur 3
4 Méthodologie Tests entièrement manuels Outils pour automatiser certaines tâches utilisés manuellement Consultant expérimentés Adaptation permanente aux résultats Exemple : adaptation au réseau testé Répétition des scans Utilisation de plusieurs scanners différents pour croiser les résultats Augmentation du nombre de paquets par port testé Limitation du nombre de paquets envoyés par seconde Augmentation des délais de garde (timeout) dans les scanners 4
5 Méthodologie Adaptation permanente aux résultats... Tests au niveau gestion des sessions Prédiction, interception, capture, fixation Tests au niveau de l'authentification Contournement, force brute, séparation des profils Tests sur les formulaires Injections, données renvoyées, XSS Tests non-automatisables 5
6 Méthodologie Présentation des résultats Manque de confiance dans les constats Démonstration vidéo Manque de confiance dans la reproductibilité par d'autres Approche conformité vs approche gestion de risque 6 Objectifs de l'audit de sécurité ou du test d'intrusion Réalisé pour être conforme, ne pas avoir des reproches de la hiérarchie, protéger sa carrière SoX, Bâle II, Solvency II, PCI-DSS, ISO 27799, politique de 100 pages Réalisé pour réduire les risques, améliorer la situation, corriger les erreurs ISO Plan Do Act Check
7 Conséquences Divulgation de bases de données nominatives Citoyens, clients, patients,... Acquisition gratuite Billets, forfaits, tickets,... Divulgation, vol,... de données Boites aux lettres Comptes bancaires... Détournement d'application professionnelles Tout est interconnecté avec tout Attaques réelles finalement peu fréquentes 7
8 Mauvaises configurations Console d'administration tomcat accessibles à distance Vulnérabilité la plus grave Failles tomcat jamais corrigées Responsables, exploitants, ignorent le fait qu'ils ont tomcat Permet à l'intruseur d'aller très vite très loin Utilisé par des logiciels malveillants pour se déployer sur des serveurs windows malware.html 8
9 Mauvaises configurations Interface de gestion du serveur (jmx-console) Par défaut non protégée dans Jboss Execution de commandes arbitraires, compromission du serveur Authentification faible Inclusion de fichier locale et distante 9
10 Injections SQL Vulnérabilités les plus fréquentes Très rare de ne pas en trouver dans une application web Permer d'acceder aux données sensibles Inutile de chercher à avoir les privilèges d'administration Exemple : nom de colonne utilisé pour le tri de tableaux incorrectement validé Techniques en évolution : ' or 1=1 /*' union select attaques en aveugle, bit à bit Cf mesure de sécurité ISO 27001:2005 A
11 A Contrôle des données en entrée Data input to application systems shall be validated to ensure that it is correct and appropriate. Input data validation Concept fondamental : Toutes les entrées d'une application doivent être vérifiées Concept néanmoins simple : S'assurer qu'une information est bien du type attendu Exemples Un prix ne peut dépasser une valeur limite Nom d'une personne : lettres, apostrophe, tiret, accents Personne ne s'appelle MARTIN /bin/sh; 11
12 Pourquoi? A Contrôle des données en entrée Se protéger contre un fonctionnement non déterminé Déni de service Comportement erratique Erreurs... Se protéger contre l'injection : Utiliser les paramètres d'entrée pour injecter un contenu Contenu spécialement écrit pour exploiter la vulnérabilité Code (en fonction de l'application : code de script, HTML, SQL) Débordement de buffers 12
13 A Contrôle des données en entrée Client LOGIN=NOM&PASSWORD=PAF OR 'x'='x' SELECT ID WHERE LOGIN=NOM AND PASSWORD=PAF OR 'x'='x' Serveur Web OK Base de données 13
14 A Contrôle des données en entrée Entrée d'application Démonstration Champs d'un formulaire Web Données provenant d'une base de données Saisie sur un terminal Etc. Ici par extension, la validation de toutes les données entrantes Ex: une note interne, demandant un accès privilégié sur un système Est-elle valide? Insertion de 2 millions d'entrées dans une base etc. Test technique conseillé lors de l'audit (IS D.1) 14
15 XSS Execution croisée de code / Cross-Site-Scripting Vulnérabilités les plus fréquentes après les injections Exploitées par les vers javascript type 'Sam My hero' Cf mesure de sécurité ISO A
16 A Contrôle des données en sortie Data output from an application system shall be validated to ensure that the processing of stored information is correct and appropriate to the circumstances. Output data validation Corollaire du précédent Même type de contrôle sur le résultat d'un traitement Les données sont-elles correctes? Leur classification est-elle correcte? Données confidentielles publiées suite à une erreur Toutes les sorties, ou presque, sont les entrées d'un autre programme Confiance mutuelle? 16
17 A Contrôle des données en sortie Démonstration POST /newart.php Host: Content-Type: multipart/form-data subject=vds%20palm%20pas%20cher& texte=<script>alert("coucou!")</script> <body> <h2>vds Palm pas cher</h2><br> <hr> <script>alert("coucou!")</script> </body> GET /article.php?id=9081 Host: Test technique possible lors de l'audit (IS D.1) 17
18 Mauvaise programmation Mots de passe en clair dans les journaux applicatifs Fuite d'information, vol de session, rebond Exemple PHP Implémentation d'une fonction check_session pour faire du register_globals : foreach($_request as $key => $vars) $GLOBALS[$key]=$vars; 18 Permet à l'utilisateur de redéfinir n'importe quelle variable globale et variable interne au moteur PHP Listage des profils utilisateurs sans authentification, facturation d'un profil quelconque, ajout de privilège administrateur à un profil quelconque, compromission système,... Recommander d'enlever magic_quotes_gpc entraîne ce type de vulnérabilité
19 Gestion des droits Mauvaise programmation Isolation entre comptes mauvaise Images Exportation en PDF,.csv,... Exemple : export en PDF d'un contrat ne vérifiant pas que le contrat exporté appartient à l'utilisateur authentifié 19
20 Combinaisons Injection SQL + CSRF ou XSS Logiciels malveillants ajoutent du code en attaquant la base de données Recherche d'url de type /index.asp?id= pour tenter /index.asp?id=3<injection SQL> Modification des colonnes contenant des chaînes de caractères Ajout de javascript ou de liens vers des sites malveillants UPDATE de la base de données 20
21 Frameworks Permettent d'éviter les vulnérabilités les plus graves Gestion de la base de données (Hibernate pour Java, activerecord en rails) Gestion de l'affichage pour éviter les XSS (struts en Java, <%=h en rails)... 21
22 Frameworks Induisent cependant des vulnérabilités nouvelles Inhérentes au framework lui-même comme dans toute application exposée Mauvaise compréhension de la gestion des autorisations car pas géré nativement Mise en confiance du programmeur qui fait des bétises XSS parce qu'au lieu d'écrire : <%=h user.about %> il a écrit : <%= user.about %> Toujours possible de ne pas utiliser le mapping avec la base de données. find_by_sql permet de faire du SQL et donc potentiellement une injection 22
23 Conclusion Exiger l'intégration et la prise en compte de la sécurité dans les applications web dès l'appel d'offres Faire une appréciation des risques sur le projet Exiger des développeurs formés et sensibilisés Prévenir qu'un audit de sécurité sera réalisé par une société spécialisée Ne pas sélectionner sur le prix Questions? 23
Failles XSS : Principes, Catégories Démonstrations, Contre mesures
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,
Plus en détailPrincipales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction des empreintes de mots de passe en environnement
Plus en détailcedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailCatalogue des Formations Techniques
Catalogue des Formations Techniques Items Média Concept 4, allées Pierre-Gilles de Gennes - 33700 Mérignac Téléphone : 05.57.35.73.73 Télécopie : 05.57.35.73.70 Courriel : contact@imc-fr.com 2 Préambule
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailIntroduction sur les risques avec l'informatique «industrielle»
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction sur les risques avec l'informatique «industrielle» Paris,
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailLa conformité et sa dérive par rapport à la gestion des risques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La conformité et sa dérive par rapport à la gestion des risques Matinée
Plus en détailLa sécurité des systèmes d information
Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailAnalyse statique de code dans un cycle de développement Web Retour d'expérience
Analyse statique de code dans un cycle de développement Web Retour d'expérience Laurent Butti et Olivier Moretti Orange France prenom.nom@orange.com Agenda Introduction Notre contexte L (in)sécurité des
Plus en détailJSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com
Retour d'expérience sur les outils d'audit d'applications Web en «boite noire» JSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com À propos Expérience en R&D (Orange
Plus en détailSécurité de la Voix sur IP
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JTR 2010 Sécurité de la Voix sur IP Jean-Baptiste Aviat Jean-Baptiste
Plus en détailVirtualisation et Sécurité
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CIO - LMI Virtualisation et Sécurité Alain Thivillon Alain Thivillon
Plus en détailSécurité des applications web. Daniel Boteanu
I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet
Plus en détailWinReporter Guide de démarrage rapide. Version 4
WinReporter Guide de démarrage rapide Version 4 Table des Matières 1. Bienvenue dans WinReporter... 3 1.1. Introduction... 3 1.2. Configuration minimale... 3 1.3. Installer WinReporter... 3 2. Votre premier
Plus en détailNotre Catalogue des Formations IT / 2015
Notre Catalogue des Formations IT / 2015 Id Intitulé Durée Gestion de projets et méthodes I1101 I1102 I1103 I1104 I1105 I1106 I1107 I1108 I1109 I1110 I1111 I1112 I1113 I1114 I1115 I1116 I1117 I1118 I1119
Plus en détailUtiliser Access ou Excel pour gérer vos données
Page 1 of 5 Microsoft Office Access Utiliser Access ou Excel pour gérer vos données S'applique à : Microsoft Office Access 2007 Masquer tout Les programmes de feuilles de calcul automatisées, tels que
Plus en détailAttaques applicatives
Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites
Plus en détailPROPOSITION. One ID. Références développement. Version 1.0 Juillet 2009. One ID
développement One ID PROPOSITION Version 1.0 Juillet 2009 One ID 1155 avenue du Clapas 34980 Saint Gély du Fesc FRANCE Téléphone : 33 (0) 4 67 12 00 48 Fax : 33 (0) 9 55 82 99 73 Web : http://www.one-id.fr
Plus en détailTraçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente
Traçabilité des administrateurs internes et externes : une garantie pour la conformité Marc BALASKO Ingénieur Avant-vente Quelles normes? Sécurité des données des titulaires de cartes bancaires Régulation
Plus en détailles techniques d'extraction, les formulaires et intégration dans un site WEB
les techniques d'extraction, les formulaires et intégration dans un site WEB Edyta Bellouni MSHS-T, UMS838 Plan L extraction des données pour un site en ligne Architecture et techniques Les différents
Plus en détailSécurité de la ToIP Mercredi 16 Décembre 2009. CONIX Telecom eric.assaraf@conix.fr
Sécurité de la ToIP Mercredi 16 Décembre 2009 CONIX Telecom eric.assaraf@conix.fr Téléphonie sur IP vs téléphonie classique Quel est le niveau de sécurité de la téléphonie classique? 2 La différence c
Plus en détailMysql. Les requêtes préparées Prepared statements
Mysql Les requêtes préparées Prepared statements Introduction Les prepared statements côté serveur sont une des nouvelles fonctionnalités les plus intéressantes de MySQL 4.1 (récemment sorti en production
Plus en détailStockage du fichier dans une table mysql:
Stockage de fichiers dans des tables MYSQL avec PHP Rédacteur: Alain Messin CNRS UMS 2202 Admin06 30/06/2006 Le but de ce document est de donner les principes de manipulation de fichiers dans une table
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailCréer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
Plus en détailINTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)
CS WEB Ch 1 Introduction I. INTRODUCTION... 1 A. INTERNET INTERCONNEXION DE RESEAUX... 1 B. LE «WEB» LA TOILE, INTERCONNEXION DE SITES WEB... 2 C. L URL : LOCALISER DES RESSOURCES SUR L INTERNET... 2 D.
Plus en détailInitiation à la sécurité
Initiation à la sécurité UE Systèmes informatiques 12 septembre 2011 Julien Raeis - http://raeis.iiens.net/ Présentation Ingénieur IIE 2005 Carrière dans la sécurité des systèmes Consultant en sécurité
Plus en détailLes enjeux de la dématérialisation du courrier entrant
Les enjeux de la dématérialisation du courrier entrant EMC Solutions for Digital MailRoom 1 Introduction à l Input Management 2 Une organisation dépendante des flux papier? Site 1 Gestionnaires Formulaires
Plus en détailExtraction de données authentifiantes de la mémoire Windows
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction de données authentifiantes de la mémoire Windows
Plus en détailDu 23 Janvier au 3 Février2012 Tunis (Tunisie)
ADMINISTRATION DE RESEAUX POUR LES ADMINISTRATEURS DE SYSTEMES ET RESEAUX D'ENTREPRISE Du 23 Janvier au 3 Février2012 Tunis (Tunisie) FORMATION EN ADMINISTRATION DE RESEAUX Les objectifs : Ce stage traite
Plus en détailMicro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance
Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance Auteur : François CHAUSSON Date : 8 février 2008 Référence : utiliser le Bureau a distance.doc Préambule Voici quelques
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailPHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward
PHP CLÉS EN MAIN 76 scripts efficaces pour enrichir vos sites web par William Steinmetz et Brian Ward TABLE DES MATIÈRES INTRODUCTION 1 1 TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR LES SCRIPTS PHP
Plus en détailAPPLICATIONS MOBILES Catalogue de services Econocom-Osiatis 21.01.2014
APPLICATIONS MOBILES Catalogue de services 21.01.2014 Sommaire 1 2 Catalogue d applications mobiles types Organisation (5) Communication & Collaboration (3) Gestion d activités de services (3) CRM / B2C
Plus en détailJAB, une backdoor pour réseau Win32 inconnu
JAB, une backdoor pour réseau Win32 inconnu Nicolas Grégoire Exaprobe ngregoire@exaprobe.com, WWW home page : http ://www.exaprobe.com 1 Introduction Le but de cet article est de montrer les possibilités
Plus en détailSQL MAP. Etude d un logiciel SQL Injection
Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil
Plus en détailTechnologies Web. Ludovic Denoyer Sylvain Lamprier Mohamed Amine Baazizi Gabriella Contardo Narcisse Nya. Université Pierre et Marie Curie
1 / 22 Technologies Web Ludovic Denoyer Sylvain Lamprier Mohamed Amine Baazizi Gabriella Contardo Narcisse Nya Université Pierre et Marie Curie Rappel 2 / 22 Problématique Quelles technologies utiliser
Plus en détailTHEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques
THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr
Plus en détailMaarch V1.4 http://www.maarch.org
COLD (factures clients) Maarch Professional Services Maarch PS anime le développement d un produit d archivage open source : http://www.maarch.org Guide de visite COLD (factures clients) VERSION DATE ACTEUR
Plus en détailMANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)
MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION) SOMMAIRE AVANT PROPOS... 3 PRÉSENTATION FONCTIONNELLE WATCHDOC... 4 APERÇU DU MANUEL... 5 INTRODUCTION... 5 CONTACTER DOXENSE... 5 PRÉPARER L INSTALLATION...
Plus en détailGuide d implémentation. Réussir l intégration de Systempay
Guide d implémentation - Interface avec la plateforme de paiement - Réussir l intégration de Systempay Version 1.4b Rédaction, Vérification, Approbation Rédaction Vérification Approbation Nom Date/Visa
Plus en détailAuteur LARDOUX Guillaume Contact guillaume.lardoux@epitech.eu Année 2014 DEVELOPPEMENT MOBILE AVEC CORDOVA
Auteur LARDOUX Guillaume Contact guillaume.lardoux@epitech.eu Année 2014 DEVELOPPEMENT MOBILE AVEC CORDOVA Sommaire 1. Introduction 2. Installation 3. Fonctionnement 4. Développement 5. Démonstration 2
Plus en détailAnalyse des protections et mécanismes de chiffrement fournis par BitLocker
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Analyse des protections et mécanismes de chiffrement fournis par BitLocker
Plus en détailPhone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION
Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION Sage CRM NOTICE The information contained in this document is believed to be accurate in all respects but
Plus en détail1. Introduction... 2. 2. Sauvegardes Hyper-V avec BackupAssist... 2. Avantages... 2. Fonctionnalités... 2. Technologie granulaire...
Guide de démarrage rapide : console de restauration granulaire Hyper-V Sommaire 1. Introduction... 2 2. Sauvegardes Hyper-V avec BackupAssist... 2 Avantages... 2 Fonctionnalités... 2 Technologie granulaire...
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailTable des matières. Avant-propos... Préface... XIII. Remerciements...
Avant-propos... XI Préface... XIII Remerciements... XV Introduction... XVII Pourquoi faire un pentest?... XVII Pourquoi Metasploit?... XVII Un bref historique de Metasploit.... XVIII À propos de ce livre...
Plus en détailDocumentation FOG. Déploiement d images de systèmes d exploitation à travers le réseau.
Documentation FOG Déploiement d images de systèmes d exploitation à travers le réseau. Sommaire 1. Installation et configuration d une distribution Linux 2. Installation de FOG 2.1. Configuration DHCP
Plus en détail1-Introduction 2. 2-Installation de JBPM 3. 2-JBPM en action.7
Sommaire 1-Introduction 2 1-1- BPM (Business Process Management)..2 1-2 J-Boss JBPM 2 2-Installation de JBPM 3 2-1 Architecture de JOBSS JBPM 3 2-2 Installation du moteur JBoss JBPM et le serveur d application
Plus en détailAlfresco et TYPO3 Présenté par Yannick Pavard dans le cadre des rencontres WebEducation Février 2008
Alfresco et TYPO3 Présenté par Yannick Pavard dans le cadre des rencontres WebEducation Février 2008 Objectifs À la fin de cette présentation, vous serez en mesure : de citer des ministères ayant fait
Plus en détailLes formations. ENI Ecole Informatique
Titre professionnel : Inscrit au RNCP de niveau I (Bac) (J.O. du 14 avril 2012) 17 semaines page 1/7 Unité 1 : Spécifier, concevoir et réaliser une application n-tiers 7 semaines Module 1 : Algorithme
Plus en détailExpert technique J2EE
EHRET Guillaume 25, rue de la Richelandiere 42100 SAINT ETIENNE 32 ans - Célibataire Expert technique J2EE Domaines de compétences Environnement et langages Expertise en programmation Java et en architecture
Plus en détailGestion des identités
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI
Plus en détailLa sécurité des PABX IP. Panorama des risques et introduction des mesures de protection
La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité
Plus en détailCours en ligne Développement Java pour le web
Cours en ligne Développement Java pour le web We TrainFrance info@wetrainfrance Programme général du cours Développement Java pour le web Module 1 - Programmation J2ee A) Bases de programmation Java Unité
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailLA PROTECTION DES DONNÉES
LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que
Plus en détailSYSTÈMES D INFORMATIONS
SYSTÈMES D INFORMATIONS Développement Modx Les systèmes de gestion de contenu Les Content Management Système (CMS) servent à simplifier le développement de sites web ainsi que la mise à jour des contenus.
Plus en détailSSH, le shell sécurisé
, le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,
Plus en détailSECURIDAY 2012 Pro Edition
SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Information Gathering via Metasploit] Chef Atelier : Nihel AKREMI (RT 3) Baha Eddine BOUKHZAR(RT 2) Sana GADDOUMI (RT 4) Safa
Plus en détailNouveautés VMware vsphere 5.0 et retour d expérience d un upg
Nouveautés VMware vsphere 5.0 et retour d expérience d un upgrade vsphere 4.1 vers 5.0 Zouhir Hafidi Division Technique de l INSU La Seyne sur Mer 5 octobre 2011 La DT INSU Unité Propre de Service (UPS
Plus en détailCréation d un «Web Worm»
Création d un «Web Worm» Exploitation automatisée des failles web Simon Marechal Thales Security Systems Consultant Risk Management 1 Création d un ver exploitant une faille web 1.1 Introduction Les applications
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailQu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur
Qu est ce que Visual Guard Authentification Vérifier l identité d un utilisateur Autorisation Qu est-ce qu un utilisateur peut faire dans l application Audits et rapports Fonctionnalités d Audit et de
Plus en détailComputer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST 2012. Industrie Services Tertiaire
Retour d expérience sur les investigations d attaques APT David TRESGOTS 13 juin 2012 Forum Cert-IST 2012 page 1 Sommaire Petits rappels au sujet des APT Attaque APT : Scénario «type» Investigation d une
Plus en détailRemote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)
Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...
Plus en détailRevue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?
Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I
Plus en détailPolitique d'utilisation des dispositifs mobiles
ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation
Plus en détailRetour d expérience sur Prelude
Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan
Plus en détailCabinet d Expertise en Sécurité des Systèmes d Information
Cabinet d Expertise en Sécurité des Systèmes d Information 2012 Introduction 21 ans d expérience professionnelle, dans l informatique puis dans les TIC. Plus précisément en matière de Sécurité des Réseaux
Plus en détailArchitecture de la plateforme SBC
Simple Business Connector Architecture de la plateforme SBC Titre Projet Description Architecture de la plateforme SBC Plateforme SBC Ce document reprend toutes les étapes de l'installation du serveur
Plus en détailConfiguration du matériel Cisco. Florian Duraffourg
Configuration du matériel Cisco Florian Duraffourg Généralités CLI - Utile Autocomplétion avec tab Comandes partielles valides si non ambigues ex: wr me write memory conf t configure terminal Aide
Plus en détailInternet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft
Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web
Plus en détailOZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications
OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas
Plus en détail1 JBoss Entreprise Middleware
1 JBoss Entreprise Middleware Les produits de la gamme JBoss Entreprise Middleware forment une suite de logiciels open source permettant de construire, déployer, intégrer, gérer et présenter des applications
Plus en détailINSTALLATION DE L APPLICATION DU CONTEXTE ITASTE
INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE Le responsable de la société Itaste utilise une application installée sur son poste : elle est programmée en VBA sous Microsoft Access et pourvue d une
Plus en détailTeamViewer 9 Manuel Management Console
TeamViewer 9 Manuel Management Console Rév 9.2-07/2014 TeamViewer GmbH Jahnstraße 30 D-73037 Göppingen www.teamviewer.com Sommaire 1 A propos de la TeamViewer Management Console... 4 1.1 A propos de la
Plus en détailCARPE. Documentation Informatique S E T R A. Version 2.00. Août 2013. CARPE (Documentation Informatique) 1
CARPE (Documentation Informatique) 1 CARPE Version 2.00 Août 2013 Documentation Informatique S E T R A Programme CARPE - Manuel informatique de l'utilisateur CARPE (Documentation Informatique) 2 Table
Plus en détailWPKG Gestion de paquets pour Windows
wpkg.org Fabrice Flore-Thebault fab@centsix.org 14 octobre 2010 A propos de l auteur A propos de l auteur Fabrice Flore-Thébault administrateur systèmes GNU/Linux, Windows, MacOS X travaille dans des PME
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES De la théorie à la pratique Juillet 2012 www.advens.fr Document confidentiel - Advens 2012 Développer des Applications Web Sécurisées Intervenants Agenda Frédéric
Plus en détailProcédures Stockées WAVESOFT... 12 ws_sp_getidtable... 12. Exemple :... 12. ws_sp_getnextsouche... 12. Exemple :... 12
Table des matières Les Triggers... 2 Syntaxe... 2 Explications... 2 Les évènements déclencheurs des triggers... 3 Les modes de comportements des triggers... 4 Les pseudo tables... 5 Exemple... 6 Les procédures
Plus en détailLES ACCES ODBC AVEC LE SYSTEME SAS
LES ACCES ODBC AVEC LE SYSTEME SAS I. Présentation II. SAS/ACCESS to ODBC III. Driver ODBC SAS IV. Driver ODBC SAS Universel V. Version 8 VI. Références I. Présentation Introduction ODBC, qui signifie
Plus en détailVérifier la qualité de vos applications logicielle de manière continue
IBM Software Group Vérifier la qualité de vos applications logicielle de manière continue Arnaud Bouzy Kamel Moulaoui 2004 IBM Corporation Agenda Analyse de code Test Fonctionnel Test de Performance Questions
Plus en détailFileMaker 13. Guide ODBC et JDBC
FileMaker 13 Guide ODBC et JDBC 2004-2013 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker et Bento sont des marques commerciales de
Plus en détailLa gestion des correctifs de sécurité avec WinReporter et RemoteExec
White Paper La gestion des correctifs de sécurité avec WinReporter et RemoteExec Ce document décrit les fonctionnalités de WinReporter et RemoteExec permettant de maintenir les systèmes Windows à jour
Plus en détailUserLock Guide de Démarrage rapide. Version 8.5
UserLock Guide de Démarrage rapide Version 8.5 Introduction UserLock est une solution logicielle d'entreprise unique sécurisant les accès utilisateur sur le réseau afin de réduire le risque d'une brèche
Plus en détailCatalogue & Programme des formations 2015
Janvier 2015 Catalogue & Programme des formations 2015 ~ 1 ~ TABLE DES MATIERES TABLE DES MATIERES... 2 PROG 1: DECOUVERTE DES RESEAUX... 3 PROG 2: TECHNOLOGIE DES RESEAUX... 4 PROG 3: GESTION DE PROJETS...
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailQuelques précisions concernant les commandes de Ticket Restaurant électronique par fichier Excel
Quelques précisions concernant les commandes de Ticket Restaurant électronique par fichier Excel. Commande de cartes Afin de faciliter votre compréhension, les champs obligatoires sont surlignés en jaune
Plus en détail