Articles

Le développement a le vent en poupe depuis quelques années. Entre les smartphones, les applications en mode SaaS (ou les web applications), les services cloud, les objets connectés le besoin de développeur n’a jamais été aussi important. Et la tendance n’est pas à l’inversion de la courbe. Depuis longtemps la sécurité dans les applications existe, il y a d’ailleurs un très bon site internet qui répertorie les failles de sécurité les plus courantes créées par les développeur.

Il s’agit de OWASP, un site qui fait des recommandations sur les bonnes pratiques de développement pour éviter la création de failles de sécurité. L’organisation tient un TOP 5 des vulnérabilités les plus répandues. Ainsi, on apprendra que Le remote code injection est la faille numéro 1:

Remote code injection en php

Remote code injection en php

On a tous fait des boulettes et ce n’est pas fini.

Si on se réfère à ce classement, vous apprendrez que la place de numéro 3 revient à l’injection SQL, erreur courante mais pas toujours simple à expliquer. C’est là que codebashing intervient et propose au travers d’un très bon site, des tutoriels autour de la sécurité avec les moyens de contourner ces problèmes. Le site n’est malheureusement pas gratuit, mais vous pouvez essayer le site sur l’injection SQL.

Exemple de code source, simulation, explication, tout est fait pour que vous appreniez à déterminer les failles et à y apporter une solution qui la comblera. C’est grâce à son mode pas à pas que vous comprendrez comment se déclenche l’erreur et comment un hacker pourrait l’exploiter. Il existe d’autres sites sur le sujet mais ils ne sont pas tous aussi didactiques.

Il est important d’apprendre à pirater ou à exploiter des failles afin de comprendre comment elles fonctionnent pour mieux les bloquer ou les corriger. Le but n’est pas de faire de vous un hacker mais un bon développeur.

Le site: codebashing: http://www.codebashing.com/
L’essai gratuit sur l’injection SQL expliquée: http://www.codebashing.com/try-it

Personnellement pou avoir testé pas mal d’antivirus d’entreprise: Symantec, Trend Micro, Kaspersky, Avast, Bit Defender ou encore Mac Affy ou Node32, ma préférence va à Trend Micro.

Pas de choses désagréables à faire, pas de politique à créer.

Non juste un lite de machines, on pousse l’installation (déploiement) au travers du réseau, on attend et on observe. Une fois les machine remontée, on peut soit ne rien faire et tout laisser par défaut ou bien affiner sa configuration. La documentation est bien faite. Et puis après tout c’est quand même Marc Blanchard qui a mis tout ça en place.

Tout ça pour dire que Trend Micro organise en octobre une série de Webséminaires pour présenter leurs solutions, leurs techniques…

Il y a plusieurs dates et c’est gratuit. Je vous recommande vivement d’y assister si vous ne connaissez pas pour découvrir tout ça. Et si vous connaissez, c sera l’occasion d’entendre des experts parler de leur technologie.

Le programme est ici.

C’est bien beau de trouver des scripts PowerShell qui vous sortent de pleins de galères ou qui améliorent votre quotidien d’administrateur.

Mais bien souvent quand on copie/colle un script ou que l’on crée un fichier de script, qu’il faut ensuite exécuter, la console PowerShell vous retourne une belle erreur en vous indiquant que le fichier est de source inconnue.

Pour y remédier il suffit de changer la stratégie d’exécution de script powershell.

Pour se faire, lancez la console PowerShell en faisant un clic droit sur le raccourcis et sélectionnez « Exécuter en tant qu’administrateur »

2014-06-26 16_17_27-Sélectionner Windows PowerShell

Puis saisissez « Set-ExecutionPolicy Unrestricted

2014-06-26 16_18_09-Windows PowerShell

Validez par oui en appuyant sur la touche « Entrée » ou bien en saisissant « O » puis « Entrée ».

Et voilà, PowerShell peut exécuter des scripts fait par vous ou téléchargés sur le net. Attention toutefois à ne pas exécuter des scripts dont vous ignorez la provenance.

Plusieurs options sont possibles:

  • Restricted – Aucun script ne peut s’exécuter.
  • AllSigned – Quel les scripts signés
  • RemoteSigned – Scripts téléchargés et signés par un editeur de confiance
  • Unrestricted – Aucune restriction.

Source