Veille Technologique

Alex GARRIDO - ENSIBS Cyberdéfense

2017-2018

Contexte

L'objectif était d'assurer une veille technologique sur un sujet de notre choix sur une période longue. Ce travail permet notamment la formation à une partie de notre activité professionnelle future.

Sujet

"Les Failles Applicatives Web"

Contenu

Failles applicatives "Serveur"
Failles applicatives "Client"
Actualités

Méthodologie

Suivi régulier de certaines sources
Phases de recherche sur des sources spécialisées
Échanges avec des collègues

Aperçu - Serveur

Aperçu - Client

Aperçu - Actualités

Et bien plus...

Information Disclosure ; Directory Listing ; Full Path Disclosure ; Informations de version ; WHOIS ; Brute Force ; DDoS ; Redirections ; File upload ; Cookie et Sérialisation ; LFI & RFI ; Eval, Assert et Preg_Replace ; Eval ; Assert ; Preg_Replace ; Register Globals ; Comparaison de type & Magic Hashes ; RCE & Injection de Commande ; XEE – External Entity Attack ; Injection SQL, NoSQL, XPATH, LDAP… ; Injection SQL ; No SQL ; XPATH et LDAP ; Confiance envers le client ; XSS Reflected ; XSS Stored ; XSS Dom Based ; Open Redirect ; CSRF (ou XSRF) ; Http Response Splitting ; Plugin Flash ; Phishing ; Attaque par Bruteforce ; Navigateurs et CVE ; Heartbleed ; DDoS de DYN DNS ; W3C ambient light sensor ; Cisco WebEx ; Web Developer ; KRACK et ROCA ; LFI – PHPMailer < 5.2.21 ; WordPress < 4.8.3 ; Coupure de courant chez OVH ; RobotAttack ; Cryptocurrency Mining Virus ; WordPress DoS ; WordPress : Mauvaise mise à jour ; Drupal core RCE ; ...

Conclusion

Intérêt personnel
Impossible de tout rapporter (exemple: uXSS)
Sujet à la fois trop vaste et trop réduit