[À lire] Les fondamentaux pour sécuriser une (application) MEAN ?

 

MEAN est un socle technique composé de MongoDB, Express, Angular et Node.js. Ces quatre composants ont un point commun : le JavaScript ! La connaissance de cet unique langage de programmation vous permet désormais de créer une application web dynamique et moderne. Ce socle technique est donc largement utilisé par les développeurs « full stack » et c’est ainsi que de nombreuses applications MEAN viennent s’installer progressivement dans les SI des entreprises. Mais voilà ! Ce socle technique est-il suffisant pour développer des applications sécurisées qui seront amenées à manipuler des données sensibles (carte bancaire, santé…) ? Lire la suite

[À lire] Déminez vos MEAN !

Tôt ou tard, tout expert en sécurité informatique sera confronté à une MEAN, mais avant de déclencher l’alerte à la bombe ou de tirer le signal d’alarme, nous vous invitons à lire ce dossier. Lire la suite

[À lire] Intégrer la sécurité dans votre usine de développement JS

 

Développer une application qui répond aux besoins du client est compliqué. Développer une application répondant à l’ensemble des exigences non fonctionnelles est encore plus compliqué. Et développer une application industrialisée et sécurisée relève de l’exploit ! Mais, nous verrons dans cet article qu’à l’impossible nul n’est tenu… Lire la suite

[À lire] Vos entêtes HTTPS avec HELMET

 

HttpOnly, vous connaissez ? Non ? Et X-XSS-Protection ? Zut… Pourtant ces petits mots doux nous aident à rendre la vie de nos utilisateurs plus sûre. Cet article liste un ensemble d’en-têtes qui aident à réduire le risque d’exploitation de failles de sécurité. Pour chacune d’entre elles, un exemple d’implémentation avec Express.js est présenté. Lire la suite

Découvrez notre nouveau support de lecture !

Venez découvrir notre nouveau support numérique dédié aux particuliers : le flipbook, disponible à l’unité, mais aussi sous forme d’abonnement. Il vous suffira de vous connecter à votre espace en ligne pour lire, depuis n’importe quel appareil, vos magazines favoris depuis la liseuse HTML5 fournie.

Vous pourrez par ce biais effectuer des recherches dans nos publications, bénéficier d’un accès rapide aux articles de votre choix, profiter d’un aperçu global du magazine sous forme de vignettes, mais aussi et surtout copier-coller en un clic le code ou la console qui vous intéresse.

Le format flipbook est disponible pour tous nos numéros actuellement en kiosque et ce, jusqu’à 5 ans de numéros déjà parus. Si ce support vous a conquis, n’hésitez pas à découvrir nos offres d’abonnement seules ou couplées.

Pour tester gratuitement le flipbook, rendez-vous sur https://boutique.ed-diamond.com/numeros-deja-parus/1278-linux-pratique-104.html.

[À lire] Désérialisation Java : une brève introduction au ROP de haut niveau

 

Les processus de sérialisation et de désérialisation Java ne manipulent que des données et non du code. Malheureusement, comme pour une chaîne ROP, il est possible de combiner des « gadgets » Java pour exécuter du code arbitraire lorsque la désérialisation s’effectue sur des données contrôlées par un attaquant. Nous présentons dans cet article une vulnérabilité de désérialisation affectant directement les libraires standards de la machine virtuelle Java. Lire la suite

L’édito de MISC n°105 !

Cet été, en toute discrétion, Orange annonçait la fin de Cloudwatt par un simple mail à ses derniers clients.

Si l’on revient rapidement à la genèse du projet, en 2009 le gouvernement français souhaitait lancer un partenariat public privé pour la création d’un acteur français de Cloud dont l’État serait actionnaire pour concurrencer le géant américain Amazon. Lire la suite

Gros plan sur la sécurité des environnements cloud Amazon Web Services

Dans son dossier de rentrée, MISC s’intéresse à la sécurité des environnements AWS. On y trouvera notamment une introduction à ces derniers, un article sur la compromission des services exposés, sur la post-exploitation et l’élévation de privilèges et sur la préparation d’une réponse à incident. Le reste du magazine vous permettra de comprendre le fonctionnement des hooks d’API pour l’analyse de malwares, utiliser bash pour vos pentests en environnement Microsoft, comprendre et explorer le fonctionnement d’UEFI avec le toolkit EDK2, etc. Rendez-vous sans plus tarder chez votre marchand de journaux pour découvrir ce numéro, sur notre boutique en ligne (frais de ports offerts pour une livraison en France métro.) pour les versions papier et flipbook, et sur notre plateforme de documentation numérique Connect. Pensez à l’abonnement pour ne plus manquer aucun numéro ! Lire la suite