Une infection en masse de sites sous IIS et ASP.NET est en train de s'effectuer. Il s'avère que les sites pointent tous vers le site http://ww.robint.us/u.js. Le problème n'est pas limité à des petits sites, mais des gros, voir très gros sont atteints.
D'après Google, plus d'un million de sites est déja infecté....(FR, CA, US, ....)vendredi 11 juin 2010
Infection en masse en cours de sites ISS/ASP.... - UPDATE - 11/06/2010
Par S. le vendredi 11 juin 2010, 22:31 - OWASP
lundi 7 juin 2010
OWASP ModSecurity Core Rule Set
Par S. le lundi 7 juin 2010, 23:56 - Links
OWASP ModSecurity Core Rule Set: "
Hello OWASP Leaders. I wanted to let you all know that a new version of the OWASP ModSecurity Core Rule Set (CRS) is now available (v2.0.7).
(Via Jeff Williams Blog.)
Technorati Tags: owasp, securite, security, modsecurity
vendredi 4 juin 2010
AppSec DC
Par S. le vendredi 4 juin 2010, 23:17 - Links
AppSec DC: "
Colleagues,
- OWASP Tools and ProjectsBuilding on the success of AppSec DC 2009, OWASP is pleased to announce the
OWASP AppSecDC 2010 conference held at the Walter E. Washington Convention
Center on November 8th through 11th 2010. Plenary sessions will be on November
10th and 11th preceded by Web Application Security Training on November 8th and
9th.
- Cloud Application Security
- Government Approaches to Application Security
- Application Security Case Studies
- Application Security and Business Risks
- Metrics for Application Security
- Web Services Security
- Source Code Review
- Web Application Security Testing
- Secure Coding Practices
- Privacy Concerns
- Vulnerabilities/Exploits in the Web App World
- Defense & Countermeasures in the Web App World
- Other web application security topics
Submit papers to http://www.easychair.org/conferences/?conf=appsecdc2010. Submission deadline is July 31st 2010. Inquires can be made to cfp@appsecdc.org.
Additional information can be found in the FAQ. You will have to sign up for an EasyChair account at https://www.easychair.org/account/signup.cgi.
Conference Website: https://www.owasp.org/index.php/OWASP_AppSec_DC_2010
FAQ: https://www.owasp.org/index.php/OWASP_AppSec_DC_2010_-_FAQ
Please forward to all interested practitioners and colleagues.
Regards,
The AppSec DC Program Committee
(Via Jeff Williams Feed.)
OWASP Ireland 2010
Par S. le vendredi 4 juin 2010, 23:16
Hello everyone,
The OWASP Ireland 2010 agenda is shaping up well and registration is to
open soon.
We are still happy to accept presentation proposals until early
August.
The sponsorship deck for OWASP Ireland is available here http://www.owasp.org/images/c/c8/OWASP_sponsorship_Master.pdf
and is limited in places.
Training shall be announced very soon also consisting of one days training
on the 16th of September.
Our Key Note speakers are legendary again this year:
Professor Fred Piper (Royal Holloway University)
Keynote: 'The changing face of cryptography'
Fred Piper was appointed Professor of Mathematics at the University of London in 1975 and has worked in information security since 1979. In 1985, he formed a company, Codes & Ciphers Ltd, which offers consultancy advice in all aspects of information security. He has acted as a consultant to over 80 companies including a number of financial institutions and major industrial companies in the UK, Europe, Asia, Australia, South Africa and the USA. The consultancy work has been varied and has included algorithm design and analysis, work on EFTPOS and ATM networks, data systems, security audits, risk analysis and the formulation of security policies. He has lectured worldwide on information security, both academically and commercially, has published more than 100 papers and is joint author of Cipher Systems (1982), one of the first books to be published on the subject of protection of communications, Secure Speech Communications (1985), Digital Signatures - Security & Controls (1999) and Cryptography: A Very Short Introduction (2002).
Damien Gordon Phd (Dublin institute of Technology)
Keynote: 'Hackers and Hollywood: The Implications of the Popular Media Representation of Computer Hacking'
Damian Gordon is a lecturer with the School of Computing at the Dublin Institute of Technology and is Programme Co-ordinator for the School's Masters in Computing (Assistive Technology). He was primary researcher on two EU funded projects whose particular focus was looking at issues associated with technoacceptance - the ILT and the E4 projects - and was Educational Advisor for the Ireland-China EMERSION project. His research interests include Differentiated Instruction, Computer Security, Technostress, ICT and Special Needs, Virtual Learning Environments, Image reconstruction from specular reflections, and Lateral Thinking Techniques.
--
Eoin Keary
OWASP Global Board Member
OWASP Code Review Guide Lead Author
(Via Jeff Williams Feeds.)
mercredi 2 juin 2010
Inline Detection of Evil JavaScript
Par S. le mercredi 2 juin 2010, 23:02 - Links
Inline Detection of Evil JavaScript: "
Exploit kits are a much more common threat on the web
than they used to be. In order to evade detection, the kits frequently contain
logic to obfuscate, or hide, the meaning behind the content that they serve to
the victim. Additionally, with each visit to the exploit page, the obfuscation
techniques will differ slightly so that static, content signatures will be
unable to detect the threat. Other threats contain obfuscated JavaScript (JS)
which sets up the page to exploit a vulnerability and launch a payload (for
example, 'spraying' the heap with shellcode). Still other threats inject
obfuscated JS into legitimate sites, which after decoding embeds a hidden
(0-pixel) IFrame to malicious content. As we have seen in the past, the JS
encodings vary greatly with each incident, and many instances are encoded
multiple times and may contain non-standard JS (reference past blog posts, such
as
(Via Zscaler Research blog.)
lundi 31 mai 2010
Now available: Microsoft SDL version 5
Par S. le lundi 31 mai 2010, 08:47 - Links
Now available: Microsoft SDL version 5: "
Jeremy Dallman here to announce that we are releasing the latest version of the Microsoft Security Development Lifecycle process guidance – Version 5 (SDLv5).
(Via Microsoft SDL blog.)
dimanche 30 mai 2010
OWASP AppSec Research 2010
Par S. le dimanche 30 mai 2010, 22:48 - Links
OWASP AppSec Research 2010
It's time to create a digital storm and invite the world to
OWASP AppSec Research 2010 this summer. We have a fabulous program and will
celebrate with a gala dinner at Stockholm City Hall
(http://international.stockholm.se/Tourism-and-history/The-Famous-City-Hall/Events-and-receptions/Rent-the-Halls).
(Via OWASP Blog.)
The OWASP Top Ten and ESAPI – Part 6 – Cross Site Request Forgery (CSRF)
Par S. le dimanche 30 mai 2010, 22:46 - Links
The OWASP
Top Ten and ESAPI – Part 6 – Cross Site Request Forgery (CSRF):
"
This article will describe how to protect your J2EE application from Cross Site Request Forgery (CSRF/XSRF) attacks using ESAPI. As with all of the detail articles in this series, if you need a refresher on OWASP or ESAPI, please see the intro article The OWASP Top Ten and ESAPI.
(Via John Melton Blog.)
Announcing the MSF-Agile+SDL Process Template for TFS 2010 - The Security Development Lifecycle - Site Home - MSDN Blogs
Par S. le dimanche 30 mai 2010, 19:53 - Links
(Via http://blogs.msdn.com/b/sdl/Microsoft SDL Blog.)
Static Analysis Worst Practices
Par S. le dimanche 30 mai 2010, 17:09 - Links
Nouvelle catégorie
Par S. le dimanche 30 mai 2010, 16:40 - Links
Ajout d'une nouvelle catégorie pour vous faire partager mes bons (et moins bons
? ) liens sur la sécurité applicative.
Un petit équivalent a mes RT twitter, meme si certains liens ne sont pas forcément sur twitter
Un petit équivalent a mes RT twitter, meme si certains liens ne sont pas forcément sur twitter
Denim Group, Ltd.: OWASP San Antonio Slides for OpenSAMM Presentation Online
Par S. le dimanche 30 mai 2010, 16:30 - Links
Denim Group, Ltd.: OWASP San Antonio Slides for OpenSAMM Presentation Online: "Denim Group, Ltd.
Metasploit Class Videos (Hacking Illustrated Series InfoSec Tutorial Videos)
Par S. le dimanche 30 mai 2010, 16:00 - Links
Recensement.....
Par S. le dimanche 30 mai 2010, 15:22
Alors, ca commence a faire beaucoup de site qui vous renvoie votre mot de
passe....
Alors si on faisait une petite liste(non représentative, mais ca aidera....) : Pour rappel le renvoi des mots de passes est considéré comme un failed par les bonnes pratiques de dév.... S.
Alors si on faisait une petite liste(non représentative, mais ca aidera....) : Pour rappel le renvoi des mots de passes est considéré comme un failed par les bonnes pratiques de dév.... S.
dimanche 16 mai 2010
Une semaine avec Android....
Par S. le dimanche 16 mai 2010, 23:35 - Divers
Voila, j'ai enfin laché l'Iphone et
je suis passé lundi dernier sur un HTC Legend (le Desire était pas disponible
avant plusieurs semaines a priori....). J'ai souvent été un early-adopter des
technologie mail/mobile (mon premier était un HP sous Windows Mobile en
2002)...
Et les raisons qui m'ont poussé à quitter l'IPhone sont multiples (pourtant je reste sur du MacOSX car c'est réellement un super OS/Matériel), en voici quelques une :
- Problème avec le forfait Data : SFR a décidé du jour au lendemain de "bloquer" les VPN
si l'on ne souscrivait pas une offre spécifique illimitée data (limitée à 1Go quand même....). Donc re-racker pour avoir un peu de sécurité sur ses connexions pro
- Problème avec l'autonomie : pas assez pour mon usage - Problème du client de mail : faut dire ce qu'y est, il est quand meme très pourri le client Apple
- Pas de tools, (enfin tres peu) de type : OpenVPN, VNC, Shell etc....En tout ca si on ne le jailbreak pas....
Bref, byebye Steve on my mobile, welcome Larry && Sergey.
Alors mes premières impressions sont plutôt bien favorables :
- Autonomie correcte : plus d'une journée en utilisation normale
- Applications OK: pour l'instant je n'ai pas trouvé les applications que je n'utilisais pas sur l'IPhone et qui me feraient défaut.
-Mail : Ben c'est gmail le client...donc rien a dire de plus, il me convient. En plus ya une application PGP....
- Photos : nickel, rien a dire - Audio/Radio : pas encore rééllement tester, mais ca le fera normalement cette semaine
-Stabilité : pas de plantage, pas de reboot, mais un peu quand meme de kill de taches parfois pour que ca fonctionne un peu "mieux".
Donc je suis plutôt impressionné et assez content actuellement. Bref, a suivre
Et les raisons qui m'ont poussé à quitter l'IPhone sont multiples (pourtant je reste sur du MacOSX car c'est réellement un super OS/Matériel), en voici quelques une :
- Problème avec le forfait Data : SFR a décidé du jour au lendemain de "bloquer" les VPN
si l'on ne souscrivait pas une offre spécifique illimitée data (limitée à 1Go quand même....). Donc re-racker pour avoir un peu de sécurité sur ses connexions pro
- Problème avec l'autonomie : pas assez pour mon usage - Problème du client de mail : faut dire ce qu'y est, il est quand meme très pourri le client Apple
- Pas de tools, (enfin tres peu) de type : OpenVPN, VNC, Shell etc....En tout ca si on ne le jailbreak pas....
Bref, byebye Steve on my mobile, welcome Larry && Sergey.
Alors mes premières impressions sont plutôt bien favorables :
- Autonomie correcte : plus d'une journée en utilisation normale
- Applications OK: pour l'instant je n'ai pas trouvé les applications que je n'utilisais pas sur l'IPhone et qui me feraient défaut.
-Mail : Ben c'est gmail le client...donc rien a dire de plus, il me convient. En plus ya une application PGP....
- Photos : nickel, rien a dire - Audio/Radio : pas encore rééllement tester, mais ca le fera normalement cette semaine
-Stabilité : pas de plantage, pas de reboot, mais un peu quand meme de kill de taches parfois pour que ca fonctionne un peu "mieux".
Donc je suis plutôt impressionné et assez content actuellement. Bref, a suivre
mercredi 5 mai 2010
Pub de mauvais gout ?
Par S. le mercredi 5 mai 2010, 21:41 - Divers
Franchement.... Est-ce que la, sur cette image
ya pas un truc qui choque ?
lundi 19 avril 2010
Sortie de la nouvelle version du TOP10 OWASP
Par S. le lundi 19 avril 2010, 10:28 - OWASP
L'OWASP Top10 2010 est ENFIN sorti !
jeudi 18 mars 2010
Appel a Contribution - Rencontres Mondiales du Logiciel Libres - Bordeaux 6-11 Juillet 2010
Par S. le jeudi 18 mars 2010, 11:35
Le Chapitre Français de l'OWASP soutient les RMLL 2010 et participera a des sessions techniques autour de la sécurité Web.
mercredi 17 mars 2010
SNCF, on change de slogan et ca ira mieux...
Par S. le mercredi 17 mars 2010, 15:17 - Sécurité
Encore une fois la
SNCF fait parler d'elle...On va se demander si c'est pas juste une
opération de communication....
Déja hier,
l'exercice a été loupé....
Et dire que leur slogan est : « des idées d'avance »
Maintenant on parle juste des données de tous les abonnés qui étaient dispos
par une faille....Et dire que ces gens dépensent des millions et ne sont pas
capable de "coder" proprement..... Je leur suggère de lire au minimum le
Top10 OWASP(même que si ils
le veulent je suis prêt a me déplacer pour leur présenter la
chose.....)
Je me dis même qu'a priori ils ont des Web
Applications Firewalls, vu que c'est maintenant quasi-obligatoire dans
toute structure de cette taille...J'espère juste qu'ils ne les avaient pas mis
en place à ce moment la.....
Bref, je leur souhaite une bonne lecture de ce que nous avons présenté à Confoo avec Antonio :
Enfin, c'est pas grave, ils vont encore nous augmenter le prix des billets et des abonnements pour payer les embarras générés par ces petits problèmes de "communication".
Busy...Busy....
Par S. le mercredi 17 mars 2010, 14:48 - OWASP
My last updated come a long time ago. Sorry to miss my blog.
I think I must to setup a reminder every sunday for an article.
Well, Confoo was great, we (me and Antonio, AF French Site ) was absolutely excited to
talk and to spend a small week in Montreal.
We have upload our slides on slideshare
So, Confoo was a great experience. We got Security track in a Developer World ! Thanks Philippe for this great idea, and we hope to see you in France/Geneva or Montreal soon !
By the way, just check the update on the OWASP Fuzzing Database :
and OWASP Jbrofuzz is released
« billets précédents - page 1 de 2