Ce billet explique comment implémenter un audit de sécurité DAST (Dynamic Application Security Testing) automatisé avec OWASP ZAP, Symfony et Docker. L'auteur décrit l'architecture de l'intégration, qui repose sur trois composants clés : l'image Docker officielle de ZAP, l'Automation Framework pour configurer le scan via un fichier YAML, et l'orchestrateur Castor pour gérer l'interconnexion réseau. Le défi principal est de permettre au conteneur ZAP d'accéder à l'application locale, résolu en utilisant le flag --add-host pour mapper dynamiquement le domaine cible. L'automatisation est réalisée via l'Automation Framework de ZAP, permettant de définir le périmètre de l'audit et d'exclure des chemins spécifiques pour éviter les faux positifs. Le processus inclut un spider pour explorer l'application et des scans pour détecter les vulnérabilités.
AuditTrailBundle est un bundle léger pour Symfony qui suit et stocke automatiquement les modifications des entités Doctrine ORM pour la journalisation des audits et la conformité. Il offre des performances élevées grâce à une architecture en deux phases (capture en onFlush, envoi en postFlush), plusieurs options de transport (Doctrine, HTTP, Queue), un suivi précis des collections, un masquage des données sensibles, un support de réversion sécurisé, un audit conditionnel et un suivi contextuel riche. Compatible avec PHP 8.4+, Symfony 7.4+ et Doctrine ORM 3.0+, il est conçu pour les audits de production avec un faible overhead d'écriture et une prise en charge de la réversion des entités.
L'auteur explique la conception d'une architecture d'audit en deux phases pour Symfony, visant à concilier atomicité et performance. La première phase, transactionnelle (onFlush), capture les changements de données dans la base de données, garantissant ainsi la cohérence. La seconde phase, asynchrone (postFlush), envoie les logs d'audit vers des destinations externes sans impacter les performances de l'application. L'article détaille les avantages de cette approche et les choix architecturaux clés, comme l'utilisation de la méthode onFlush plutôt que des callbacks de cycle de vie.
L’article explique comment récupérer les logs d’audit du control-plane des clusters Managed Kubernetes Service (MKS) d’OVHCloud, normalement accessibles uniquement via leur Logs Data Platform (LDP). L’auteur utilise Vector (v0.49.0), qui introduit un nouveau plugin websocket, pour capter ces logs en temps réel depuis l’URL WebSocket fournie par OVHCloud. Après une configuration locale simple (fichier YAML définissant une source websocket et un sink console), les logs sont récupérés, nettoyés via des transformations (remap), puis formatés en JSON. Cette méthode permet d’exporter les logs vers sa propre stack d’observabilité (Loki, ELK, etc.) ou vers d’autres environnements, offrant ainsi plus de flexibilité pour l’archivage ou l’analyse. Une solution efficace et légère, idéale pour compléter une stack d’observabilité existante.
L'auteur explique comment il a mené un audit de sécurité dans son entreprise : récupération de la liste des utilisateurs, constitution d'un dictionnaire, préparation d'une machine de calcul, cassage du maximum de mots de passe, et information auprès des personnes concernées. Il en profite pour rappeler quelques conseils de sécurité sur les mots de passe.
Tout est dans le titre (via https://www.geeek.org/ara-accessibilite-numerique-audit-rgaa/ )
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
L'auteur présente plusieurs scripts / logiciels d'audit et supervision
Une présentation de la sécurité par défaut dans Symfony. Conclusion, aucune faille connue !