Ce billet de blog explique comment sécuriser une fonctionnalité d'import de fichiers en corrigeant les failles SSRF (Server Side Request Forgery) et XXE (XML External Entity). L'auteur décrit comment une vulnérabilité a été découverte dans son application Writizzy, permettant à un utilisateur malveillant d'accéder à des fichiers sensibles du serveur via des requêtes internes ou des protocoles non sécurisés. Des solutions sont proposées pour vérifier les protocoles utilisés et bloquer les accès aux URLs privées ou locales.
Présentation d'une faille par injection HTML intéressante (et c'est pas du XSS) et comment s'en prémunir (utiliser DOMPurify)
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Arachni est un scanneur de vulnérabilités web écrit en Ruby (cross-plateforme) par Tasos Laskos et permettant d’automatiser la détection d’un grand nombre de failles (XSS, SQL Injection, Local File Injection, Remote File Injection, etc.). Il est disponible sous la forme d’une interface web, une application console et une API REST. Types de scans Arachni permet …
Tout est dans le titre
Une dépêche Linuxfr.org sur la faille "shellshock" de bash : très très complète