Templora publie un article récapitulatif des points de sécurité de base en PHP. On trouve notamment : Injections SQL, XSS, CSRF, Injections de variables et validation des données.
Le dernier...
Stefan Esser a publié une nouvelle version de son patch sécurité suhosin, pour détecter automatiquement des injections SQL. Il s'agit d'un analyseur qui se branche directement sur les fonctions mysql_query...
S'efforçant d'améliorer la sécurité des injections à l'échelle mondiale, l'Organisation mondiale de la Santé (OMS) organise à partir d'aujourd'hui une réunion de 3 jours avec des experts pour examiner les stratégies visant à promouvoir l'utilisation d'aiguilles plus sûres.
Ian Gilfian reprend les points de sécurité important à bien surveiller pour assurer la sécurité des applications Web.
+ Garder ses versions à jour
+ Attention à register_globals
+ Ou ranger ses fichiers d'inclusion et les scripts
+ Eviter les injections SQL
+ Valider les données
+ Sécuriser le HTML produit
+ Affichage des erreurs
+ Exécution de commandes système
+ Fichiers distants
+ Téléchargement de fichiers
Daniel Egeberg publie un dossier plutôt complet sur la sécurité PHP, sous forme d'un PDF de 20 pages. La sécurité PHP passe par le masquage d'erreur, les injections SQL et HTML, les...
Le site de Microsoft était vulnérable à des injections SQL, selon un article sur le site de 0x0000000.
En fait, c'est sur une ancienne adresse, surement oubliée depuis le temps. La commande...
Le site des Nations unies est vulnérable à des injections SQL, selon un article sur le site d’hackademix
Bien qu'il semble que le site utilise des commandes préparées, celui si a été...
Les injections SQL sont monnaie courante dans les applications Web. Les techniques pour les exploiter sont aussi très nombreuses.
Même si une injection semble échoue en premier lieu, en...
security focus dresse la liste des erreurs courantes dans les applications Web :
+ Injections de code distant
+ Injections SQL
+ Variables non filtrées
+ XSS
+ Obtention des noms d'utilisateurs
L'article liste différents...
PHPit présente 3 vulnérabilité potentielle pour les applications PHP, des méthodes pour tester ces problèmes et les solutions à intégrer dans la programmation.
+ Injections email
+ Affichage de source
+ CSRF
Les injections XSS permettent d'accéder aux données personnelles des utilisateurs de sites Web. C'est sur elles que reposent les attaques en Cross Site Scripting.
Pax Dickinson rassemble les 7 erreurs de sécurité les plus courantes dans une application PHP.
+ Les données des utilisateurs ne sont pas validées
+ Problèmes de contrôles d'accès
+ Protection des identifiants de session
+ Injection de code (XSS)
+ Injections SQL
+ Rapport d'erreurs
+ Gestion des erreurs
Voila un pense-bête bien pratique à garder sous la main avant un audit de sécurité.
Chris Shuflett nous signale deux articles qui traitent des problèmes de sécurité qui dépassent l'utilisation de mysql_escape_string. Bien sûr, nous en parlons dans le livre 'Sécurité PHP 5 et...
Le spécialiste en sécurité Finjan indique avoir eu accès à une base de données illégale contenant plus de 8700 indentifiants,...
Traduction anglais-français de : Improper validation of form data is one of the main causes of security vulnerabilities. It exposes your website to attacks such as header injections, sql injections and cross-site scripting. Recording invalid data may also result in corrupt databases and application errors.