Veille Technologique
Alex GARRIDO - ENSIBS Cyberdéfense
2017-2018
Contexte
L'objectif était d'assurer une veille technologique sur un sujet de notre choix sur une période longue. Ce travail permet notamment la formation à une partie de notre activité professionnelle future.
Sujet
"Les Failles Applicatives Web"
Contenu
- Failles applicatives "Serveur"
- Failles applicatives "Client"
- Actualités
Méthodologie
- Suivi régulier de certaines sources
- Phases de recherche sur des sources spécialisées
- Échanges avec des collègues
Aperçu - Serveur
Aperçu - Serveur
Aperçu - Serveur
Aperçu - Client
Aperçu - Client
Aperçu - Actualités
Aperçu - Actualités
Aperçu - Actualités
Aperçu - Actualités
Et bien plus...
Information Disclosure ; Directory Listing ; Full Path Disclosure ; Informations de version ; WHOIS ; Brute Force ; DDoS ; Redirections ; File upload ; Cookie et Sérialisation ; LFI & RFI ; Eval, Assert et Preg_Replace ; Eval ; Assert ; Preg_Replace ; Register Globals ; Comparaison de type & Magic Hashes ; RCE & Injection de Commande ; XEE – External Entity Attack ; Injection SQL, NoSQL, XPATH, LDAP… ; Injection SQL ; No SQL ; XPATH et LDAP ; Confiance envers le client ; XSS Reflected ; XSS Stored ; XSS Dom Based ; Open Redirect ; CSRF (ou XSRF) ; Http Response Splitting ; Plugin Flash ; Phishing ; Attaque par Bruteforce ; Navigateurs et CVE ; Heartbleed ; DDoS de DYN DNS ; W3C ambient light sensor ; Cisco WebEx ; Web Developer ; KRACK et ROCA ; LFI – PHPMailer < 5.2.21 ; WordPress < 4.8.3 ; Coupure de courant chez OVH ; RobotAttack ; Cryptocurrency Mining Virus ; WordPress DoS ; WordPress : Mauvaise mise à jour ; Drupal core RCE ; ...
Conclusion
- Intérêt personnel
- Impossible de tout rapporter (exemple: uXSS)
- Sujet à la fois trop vaste et trop réduit
Veille Technologique Alex GARRIDO - ENSIBS Cyberdéfense 2017-2018