Veille Technologique

Alex GARRIDO - ENSIBS Cyberdéfense

2017-2018

Contexte

L'objectif était d'assurer une veille technologique sur un sujet de notre choix sur une période longue. Ce travail permet notamment la formation à une partie de notre activité professionnelle future.

Sujet

"Les Failles Applicatives Web"

Contenu

• Failles applicatives "Serveur"
• Failles applicatives "Client"
• Actualités

Méthodologie

• Suivi régulier de certaines sources
• Phases de recherche sur des sources spécialisées
• Échanges avec des collègues

Aperçu - Serveur

Aperçu - Serveur

Aperçu - Serveur

Aperçu - Client

Aperçu - Client

Aperçu - Actualités

Aperçu - Actualités

Aperçu - Actualités

Aperçu - Actualités

Et bien plus...

Information Disclosure ; Directory Listing ; Full Path Disclosure ; Informations de version ; WHOIS ; Brute Force ; DDoS ; Redirections ; File upload ; Cookie et Sérialisation ; LFI & RFI ; Eval, Assert et Preg_Replace ; Eval ; Assert ; Preg_Replace ; Register Globals ; Comparaison de type & Magic Hashes ; RCE & Injection de Commande ; XEE – External Entity Attack ; Injection SQL, NoSQL, XPATH, LDAP… ; Injection SQL ; No SQL ; XPATH et LDAP ; Confiance envers le client ; XSS Reflected ; XSS Stored ; XSS Dom Based ; Open Redirect ; CSRF (ou XSRF) ; Http Response Splitting ; Plugin Flash ; Phishing ; Attaque par Bruteforce ; Navigateurs et CVE ; Heartbleed ; DDoS de DYN DNS ; W3C ambient light sensor ; Cisco WebEx ; Web Developer ; KRACK et ROCA ; LFI – PHPMailer < 5.2.21 ; WordPress < 4.8.3 ; Coupure de courant chez OVH ; RobotAttack ; Cryptocurrency Mining Virus ; WordPress DoS ; WordPress : Mauvaise mise à jour ; Drupal core RCE ; ... 

Conclusion

• Intérêt personnel
• Impossible de tout rapporter (exemple: uXSS)
• Sujet à la fois trop vaste et trop réduit