Mais Encore

Infection en masse en cours de sites ISS/ASP.... - UPDATE - 11/06/2010

S. — Fri, 11 Jun 2010 22:31:00 +0200

Une infection en masse de sites sous IIS et ASP.NET est en train de s'effectuer. Il s'avère que les sites pointent tous vers le site http://ww.robint.us/u.js. Le problème n'est pas limité à des petits sites, mais des gros, voir très gros sont atteints.

D'après Google, plus d'un million de sites est déja infecté....(FR, CA, US, ....)

UPDATE du 11/06/2010: une autre infection SQL fait aussi pointer sur http://2677.in/yahoo.js

(Via Sucuri.)

Technorati Tags: appsec, owasp, securite, security, appsecfr

OWASP ModSecurity Core Rule Set

S. — Mon, 07 Jun 2010 23:56:00 +0200

OWASP ModSecurity Core Rule Set: "

Hello OWASP Leaders. I wanted to let you all know that a new version of the OWASP ModSecurity Core Rule Set (CRS) is now available (v2.0.7).

(Via Jeff Williams Blog.)

Technorati Tags: owasp, securite, security, modsecurity

AppSec DC

S. — Fri, 04 Jun 2010 23:17:00 +0200

AppSec DC: "

Colleagues,

Building on the success of AppSec DC 2009, OWASP is pleased to announce the OWASP AppSecDC 2010 conference held at the Walter E. Washington Convention Center on November 8th through 11th 2010. Plenary sessions will be on November 10th and 11th preceded by Web Application Security Training on November 8th and 9th.

We are seeking presentations on the following topics:

- OWASP Tools and Projects
- Cloud Application Security
- Government Approaches to Application Security
- Application Security Case Studies
- Application Security and Business Risks
- Metrics for Application Security
- Web Services Security
- Source Code Review
- Web Application Security Testing
- Secure Coding Practices
- Privacy Concerns
- Vulnerabilities/Exploits in the Web App World
- Defense & Countermeasures in the Web App World
- Other web application security topics

Submit papers to http://www.easychair.org/conferences/?conf=appsecdc2010. Submission deadline is July 31st 2010. Inquires can be made to cfp@appsecdc.org.
Additional information can be found in the FAQ. You will have to sign up for an EasyChair account at https://www.easychair.org/account/signup.cgi.

Conference Website: https://www.owasp.org/index.php/OWASP_AppSec_DC_2010
FAQ: https://www.owasp.org/index.php/OWASP_AppSec_DC_2010_-_FAQ

Please forward to all interested practitioners and colleagues.

Regards,
The AppSec DC Program Committee

(Via Jeff Williams Feed.)

Technorati Tags: OWASP, Security, appsec

OWASP Ireland 2010

S. — Fri, 04 Jun 2010 23:16:00 +0200

OWASP Ireland 2010: "

Hello everyone,

The OWASP Ireland 2010 agenda is shaping up well and registration is to open soon.

We are still happy to accept presentation proposals until early August.

The sponsorship deck for OWASP Ireland is available here http://www.owasp.org/images/c/c8/OWASP_sponsorship_Master.pdf and is limited in places.

Training shall be announced very soon also consisting of one days training on the 16th of September.

Our Key Note speakers are legendary again this year:

Professor Fred Piper (Royal Holloway University)

Keynote: 'The changing face of cryptography'

Fred Piper was appointed Professor of Mathematics at the University of London in 1975 and has worked in information security since 1979. In 1985, he formed a company, Codes & Ciphers Ltd, which offers consultancy advice in all aspects of information security. He has acted as a consultant to over 80 companies including a number of financial institutions and major industrial companies in the UK, Europe, Asia, Australia, South Africa and the USA. The consultancy work has been varied and has included algorithm design and analysis, work on EFTPOS and ATM networks, data systems, security audits, risk analysis and the formulation of security policies. He has lectured worldwide on information security, both academically and commercially, has published more than 100 papers and is joint author of Cipher Systems (1982), one of the first books to be published on the subject of protection of communications, Secure Speech Communications (1985), Digital Signatures - Security & Controls (1999) and Cryptography: A Very Short Introduction (2002).

Damien Gordon Phd (Dublin institute of Technology)

Keynote: 'Hackers and Hollywood: The Implications of the Popular Media Representation of Computer Hacking'

Damian Gordon is a lecturer with the School of Computing at the Dublin Institute of Technology and is Programme Co-ordinator for the School's Masters in Computing (Assistive Technology). He was primary researcher on two EU funded projects whose particular focus was looking at issues associated with technoacceptance - the ILT and the E4 projects - and was Educational Advisor for the Ireland-China EMERSION project. His research interests include Differentiated Instruction, Computer Security, Technostress, ICT and Special Needs, Virtual Learning Environments, Image reconstruction from specular reflections, and Lateral Thinking Techniques.

--
Eoin Keary
OWASP Global Board Member
OWASP Code Review Guide Lead Author

(Via Jeff Williams Feeds.)

Inline Detection of Evil JavaScript

S. — Wed, 02 Jun 2010 23:02:00 +0200

Inline Detection of Evil JavaScript: "Exploit kits are a much more common threat on the web than they used to be. In order to evade detection, the kits frequently contain logic to obfuscate, or hide, the meaning behind the content that they serve to the victim. Additionally, with each visit to the exploit page, the obfuscation techniques will differ slightly so that static, content signatures will be unable to detect the threat. Other threats contain obfuscated JavaScript (JS) which sets up the page to exploit a vulnerability and launch a payload (for example, 'spraying' the heap with shellcode). Still other threats inject obfuscated JS into legitimate sites, which after decoding embeds a hidden (0-pixel) IFrame to malicious content. As we have seen in the past, the JS encodings vary greatly with each incident, and many instances are encoded multiple times and may contain non-standard JS (reference past blog posts, such as

(Via Zscaler Research blog.)

Technorati Tags: security, securite, owasp, zscaler, appsec

Now available: Microsoft SDL version 5

S. — Mon, 31 May 2010 08:47:00 +0200

Now available: Microsoft SDL version 5: "

Jeremy Dallman here to announce that we are releasing the latest version of the Microsoft Security Development Lifecycle process guidance – Version 5 (SDLv5).

(Via Microsoft SDL blog.)

Technorati Tags: Security, SDL, links, microsoft

OWASP AppSec Research 2010

S. — Sun, 30 May 2010 22:48:00 +0200

OWASP AppSec Research 2010

It's time to create a digital storm and invite the world to OWASP AppSec Research 2010 this summer. We have a fabulous program and will celebrate with a gala dinner at Stockholm City Hall (http://international.stockholm.se/Tourism-and-history/The-Famous-City-Hall/Events-and-receptions/Rent-the-Halls).

(Via OWASP Blog.)

Technorati Tags: OWASP, Security

The OWASP Top Ten and ESAPI – Part 6 – Cross Site Request Forgery (CSRF)

S. — Sun, 30 May 2010 22:46:00 +0200

The OWASP Top Ten and ESAPI – Part 6 – Cross Site Request Forgery (CSRF): "

This article will describe how to protect your J2EE application from Cross Site Request Forgery (CSRF/XSRF) attacks using ESAPI. As with all of the detail articles in this series, if you need a refresher on OWASP or ESAPI, please see the intro article The OWASP Top Ten and ESAPI.

(Via John Melton Blog.)

Announcing the MSF-Agile+SDL Process Template for TFS 2010 - The Security Development Lifecycle - Site Home - MSDN Blogs

S. — Sun, 30 May 2010 19:53:00 +0200

Announcing the MSF-Agile+SDL Process Template for TFS 2010 - The Security Development Lifecycle - Site Home - MSDN Blogs: ""

(Via http://blogs.msdn.com/b/sdl/Microsoft SDL Blog.)

Static Analysis Worst Practices

S. — Sun, 30 May 2010 17:09:00 +0200

Static Analysis Worst Practices

(Via James McGovern Blog.)

Nouvelle catégorie

S. — Sun, 30 May 2010 16:40:00 +0200

Ajout d'une nouvelle catégorie pour vous faire partager mes bons (et moins bons ? ) liens sur la sécurité applicative.
Un petit équivalent a mes RT twitter, meme si certains liens ne sont pas forcément sur twitter

Denim Group, Ltd.: OWASP San Antonio Slides for OpenSAMM Presentation Online

S. — Sun, 30 May 2010 16:30:00 +0200

Denim Group, Ltd.: OWASP San Antonio Slides for OpenSAMM Presentation Online: "Denim Group, Ltd.

(Via .)

Metasploit Class Videos (Hacking Illustrated Series InfoSec Tutorial Videos)

S. — Sun, 30 May 2010 16:00:00 +0200

Metasploit Class Videos (Hacking Illustrated Series InfoSec Tutorial Videos): "

Recensement.....

S. — Sun, 30 May 2010 15:22:00 +0200

Alors, ca commence a faire beaucoup de site qui vous renvoie votre mot de passe....
Alors si on faisait une petite liste(non représentative, mais ca aidera....) :

Pour rappel le renvoi des mots de passes est considéré comme un failed par les bonnes pratiques de dév.... S.

Une semaine avec Android....

S. — Sun, 16 May 2010 23:35:00 +0200

Voila, j'ai enfin laché l'Iphone et je suis passé lundi dernier sur un HTC Legend (le Desire était pas disponible avant plusieurs semaines a priori....). J'ai souvent été un early-adopter des technologie mail/mobile (mon premier était un HP sous Windows Mobile en 2002)...

Et les raisons qui m'ont poussé à quitter l'IPhone sont multiples (pourtant je reste sur du MacOSX car c'est réellement un super OS/Matériel), en voici quelques une :
- Problème avec le forfait Data : SFR a décidé du jour au lendemain de "bloquer" les VPN
si l'on ne souscrivait pas une offre spécifique illimitée data (limitée à 1Go quand même....). Donc re-racker pour avoir un peu de sécurité sur ses connexions pro
- Problème avec l'autonomie : pas assez pour mon usage - Problème du client de mail : faut dire ce qu'y est, il est quand meme très pourri le client Apple
- Pas de tools, (enfin tres peu) de type : OpenVPN, VNC, Shell etc....En tout ca si on ne le jailbreak pas....

Bref, byebye Steve on my mobile, welcome Larry && Sergey.
Alors mes premières impressions sont plutôt bien favorables :
- Autonomie correcte : plus d'une journée en utilisation normale
- Applications OK: pour l'instant je n'ai pas trouvé les applications que je n'utilisais pas sur l'IPhone et qui me feraient défaut.
-Mail : Ben c'est gmail le client...donc rien a dire de plus, il me convient. En plus ya une application PGP....
- Photos : nickel, rien a dire - Audio/Radio : pas encore rééllement tester, mais ca le fera normalement cette semaine
-Stabilité : pas de plantage, pas de reboot, mais un peu quand meme de kill de taches parfois pour que ca fonctionne un peu "mieux".
Donc je suis plutôt impressionné et assez content actuellement. Bref, a suivre

Pub de mauvais gout ?

S. — Wed, 05 May 2010 21:41:00 +0200

Franchement.... Est-ce que la, sur cette image

ya pas un truc qui choque ?

Sortie de la nouvelle version du TOP10 OWASP

S. — Mon, 19 Apr 2010 10:28:00 +0200

L'OWASP Top10 2010 est ENFIN sorti !

Nouvelle version, nouvelle approche, réécriture complète et bientôt nouvelle traduction.

La nouvelle version est disponible comme d'habitude sur le WIKI : http://www.owasp.org/index.php/Top10

A bientot, pour une première analyse

Appel a Contribution - Rencontres Mondiales du Logiciel Libres - Bordeaux 6-11 Juillet 2010

S. — Thu, 18 Mar 2010 11:35:00 +0100

Le Chapitre Français de l'OWASP soutient les RMLL 2010 et participera a des sessions techniques autour de la sécurité Web.

Les Rencontres Mondiales du Logiciel Libre (RMLL) sont un cycle de conférences autour du logiciel libre. Ces Rencontres sont annuelles, existent depuis 2000 et se déroulent depuis 2003 dans une ville différente chaque année. Elles sont gratuites et libres d’accès à tous. Les RMLL 2010 se dérouleront à Bordeaux du 6 au 11 juillet.

L'appel a Contribution/Conférences est ouvert jusqu'au 15/04/2010, n'hésitez pas à soumettre quelque chose :

http://2010.rmll.info /Appel-a-conferences.html?lang=fr

SNCF, on change de slogan et ca ira mieux...

S. — Wed, 17 Mar 2010 15:17:00 +0100

Encore une fois la SNCF fait parler d'elle...On va se demander si c'est pas juste une opération de communication....
Déja hier, l'exercice a été loupé....

Et dire que leur slogan est : « des idées d'avance »

Maintenant on parle juste des données de tous les abonnés qui étaient dispos par une faille....Et dire que ces gens dépensent des millions et ne sont pas capable de "coder" proprement..... Je leur suggère de lire au minimum le Top10 OWASP(même que si ils le veulent je suis prêt a me déplacer pour leur présenter la chose.....)

Je me dis même qu'a priori ils ont des Web Applications Firewalls, vu que c'est maintenant quasi-obligatoire dans toute structure de cette taille...J'espère juste qu'ils ne les avaient pas mis en place à ce moment la.....

Bref, je leur souhaite une bonne lecture de ce que nous avons présenté à Confoo avec Antonio :

Enfin, c'est pas grave, ils vont encore nous augmenter le prix des billets et des abonnements pour payer les embarras générés par ces petits problèmes de "communication".

Busy...Busy....

S. — Wed, 17 Mar 2010 14:48:00 +0100

My last updated come a long time ago. Sorry to miss my blog.
I think I must to setup a reminder every sunday for an article.
Well, Confoo was great, we (me and Antonio, AF French Site ) was absolutely excited to talk and to spend a small week in Montreal.

We have upload our slides on slideshare

So, Confoo was a great experience. We got Security track in a Developer World ! Thanks Philippe for this great idea, and we hope to see you in France/Geneva or Montreal soon !

By the way, just check the update on the OWASP Fuzzing Database :

and OWASP Jbrofuzz is released