Comment les logiciels espions contournent Google Chrome

| sécurité

Au cours des dernières versions, les navigateurs Internet ont ajoutés de plus en plus de protection contre l’installation de modules tierce malveillant.  Notamment Google qui a décidé de bloquer toutes extensions n’étant pas en provenance de leur Chrome Store.  Par contre, Au cours d’une investigation récente j’ai eu l’occasion d’analyser pourquoi un de ces modules … Continued

Lire la suite

Vulnerabilité ntopng dans pfsense

| actualité | sécurité

J’ai expédié un avis de vulnérabilité la semaine dernière à l’équipe de pfsense concernant le package ntopng, pour votre information voici le commit de correction . Pas besoin d’inclure de PoC, le diff est assez explicatif sur la vulnérabilité. Donc si vous utilisez le package ntopng v0.2, je vous invite à le mettre à jours.

Lire la suite

Personnalisation des CSS par site sous Firefox (ou comment masquer les pub de linked)

| Développement | sécurité

Mozilla Firefox intègre des options pour surcharger le CSS des sites. Cette option est utile dans plusieurs contextes (développement, sécurité, intégration) mais aussi pour modifier des sites existants, par exemple contrôler la visibilité de sections ou agrandir des polices (ou dans le cas de réseaux sociaux, masquer le contenu commandité) Pour ce faire, un fichier … Continued

Lire la suite

Authentification Système sous MySQL (LAMP)

| Développement | sécurité

Un élément important de la sécurité des base de données est est l’authentification système (réutilisé l’authentification système d’exploitation), cette méthode évite d’avoir des mots de passe en clairs dans les configurations. Cette méthode était facile à implanter sous PHP/IIS/SQL Server, mais était plus problématique à déployer sous plateforme LAMP (Linux / MySQL) Depuis MySQL 5.5 … Continued

Lire la suite

Advisory: MEDS-2011-01 – VTigerCRM Anonymous access to Setting Module

| sécurité

Hi, Here a old vulnerability submitted to vTiger Team last summer. As the 5.3 release was released some week ago, I can now publish this advisory. Advisory: MEDS-2011-01 – VTigerCRM Anonymous access to Setting Module using graph.php Release Date: 2011-05-08 Author: Francois Harvey, gestion medsecure (francois.harvey at medsecure dot ca) – http://medsecure.ca Application: Vtiger CRM … Continued

Lire la suite

Présentation – Audits de sécurité des systèmes d’informations

| Conférences | sécurité

Durant l’été, j’ai eu l’occasion de faire deux présentations aux étudiants de l’UQTR sur les audits de sécurité des systèmes d’information, l’objectif était de discuter des processus d’audit en situation réelle à travers trois études de cas. Malgré que l’essentiel de la présentation était verbal, j’avais créé une présentation sommaire comme référence. La voici à … Continued

Lire la suite

[MEDS-2010-5] Injection de NULL dans SmartOptimizer

| actualité | sécurité

Voici un avis de sécurité pour SmartOptimizer 1.7 et précédente. Une vulnérabilité permet des accès à des types de fichiers non autorisées (exemple code source des applications) en utilisant un null byte (%00) pour contourner la vérification des extensions valides. L’exploitation est très simple : smartoptimizer/index.php?../index.php%00.js Le développeur de ce logiciel à intégré un correctif, … Continued

Lire la suite