vendredi 26 février 2016

"Breaking CSRF: ASP.NET MVC"

Guest Editor: Today's post is from Taras Kholopkin. Taras is a Solutions Architect at SoftServe. In this post, Taras will discuss using anti-forgery tokens in the ASP.NET MVC framework. CSRF (Cross-Site Request Forgery) has been #8 in the OWASP Top 10 for many years. For a little background, CSRF is comprehensively explained in this article … Continue reading Breaking CSRF: ASP.NET MVC

via AppSec Street Fighter - SANS Institute http://bit.ly/1WNcWVr

jeudi 25 février 2016

mercredi 24 février 2016

Apache Tomcat Security Manager Bypass

ResourceLinkFactory.setGlobalContext() is a public method and was accessible by web applications running under a security manager without any checks. This allowed a malicious web application to inject a malicious global context that could in turn be used to disrupt other web applications and/or read and write data owned by other web applications. Apache Tomcat versions 7.0.0 through 7.0.67, 8.0.0.RC1 through 8.0.30, and 9.0.0.M1 through 9.0.0.M2 are affected.

via Advisory Files ≈ Packet Storm http://bit.ly/1LFu35O

mardi 23 février 2016

Implementing Content Security Policy

The add-ons team recently completed work to enable Content Security Policy (CSP) on addons.mozilla.org (AMO). This article is intended to cover the basics of implementing CSP, as well as highlighting some of the issues that we ran into implementing CSP on AMO. What is Content Security Policy? Content Security Policy (CSP) is a security standard […]

via Mozilla Hacks – the Web developer blog http://mzl.la/1PUm0Ge

jeudi 18 février 2016

CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow



via Google Online Security Blog http://bit.ly/1Ts0qfT

Researcher hacks medical devices and the whole hospital with ease

Sergey Lozhkin, a security expert at Kaspersky Lab demonstratd how it is easy for hackers to compromise medical devices and critical healthcare infrastructure. The ascent in the Internet of Things (IoT) has left gadgets more associated, yet much of the time more vulnerable, than at any other time. From auto hacking to digital assaults against […]

The post Researcher hacks medical devices and the whole hospital with ease appeared first on Security Affairs.



via Security Affairs http://bit.ly/1SAGes6

La protection de la vie privée du salarié dans l'entreprise s'étend à sa messagerie personnelle. Par Yves Léopold Kouahou, Avocat.

L'arrêt rendu par la chambre sociale de la Cour de cassation en date du 20 janvier 2016 (n° 14-15360) réaffirme et confirme le principe jurisprudentiel aujourd'hui largement admis selon lequel (...)

via Village de la Justice http://bit.ly/1RPUFaM

mardi 2 février 2016

Joseph Graceffa : le CLUSIR Nord de France fédère les RSSI de la région

Le CLUSIR Nord de France était présent, lors de la 8ème édition du Forum International de la Cybersécurité, sur le stand de la région Nord Pas de Calais - Picardie. A cette occasion, Joseph Graceffa, son Président, nous explique les fondements de cette association, qui s'inscrit directement dans la lignée du CLUSIR Infonord. Global Security Mag : Pouvez-vous nous présenter le CLUSIR Nord de France ? Joseph Graceffa : Le CLUSIR Nord de France est une association Loi 1901, basée dans la région Nord (...) - Interviews / ,

via Global Security Mag Online http://bit.ly/1PSQz2f

La valorisation astronomique d'une start-up

Elle est basée à Palo Alto, existe depuis 2003, a été créée par Peter Thiel, un des fondateurs de Paypal. Elle est assez secrète, non-cotée en bourse, mais grâce à sa dernière augmentation de capital de plus de 880 millions de dollars, (son 11ème tour de table, avec plus de 2 milliards cumulés !), elle vaut actuellement plus de 20 milliards de dollars. Elle s'appelle Palatir Technology et même en France, en ce début d'année 2016, la presse économique parle d'elle. Heureusement que la presse en parle car (...) - Points de Vue

via Global Security Mag Online http://bit.ly/1SCTCKx

WAF-FLE – Graphical ModSecurity Console Dashboard



via Darknet – The Darkside http://bit.ly/1SCTCue

Critical OpenSSL Flaw that Allows HTTPS-Traffic to be Decrypted Patched

Developers of the OpenSSL cryptographic code library have patched yet another high-severity vulnerability that made it possible for attackers to decrypt communications secured over HTTPS connections and other TLS channels by obtaining the secret key. While the OpenSSL vulnerability is critical and could do damage if exploited, a number of variables must first be in [...]

Source: Critical OpenSSL Flaw that Allows HTTPS-Traffic to be Decrypted Patched appeared first on Freedom Hacker the number one source for hacking news, security news & everything cyber.



via Freedom Hacker http://bit.ly/1JUFDhX

Microsoft Edge : son mode de navigation privée ne serait pas privé... du tout http://bit.ly/1TyIZt5 via @01net #appsecfr #appsec #lk


from Twitter https://twitter.com/SPoint

February 02, 2016 at 06:44AM
via IFTTT
//Activation syntaxhilight