|
|
sécurité - Les sites Web sans faille restent rares
Liens sponsorisés
Actualités
Voici une compilation des sources d'information sur ce sujet :
Une étude de WhiteHat sur les vulnérabilités de la Toile révèle que deux tiers des sites analysés rendent possible l'injection de code externe, appelée « cross site scripting ».
Skype a discrètement corrigé une faille intitulée Skypefind Cross Zone Scripting Vulnerability [1, 2]. Cette faille permettait à des attaquants l'exécution de code Javascript malicieux sur des PC Windows.Cette faille avait été (...)
XSS (Cross Site Scripting) permet l'injection de code JavaScript dans un script PHP, en exploitant des variables utilisateurs mal protégées.
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.11. Les mises à jour sont fortement recommandées vers ces versions.
12 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
ArticleLive, AutoTheme, BirdBlog, FishCart, Interspire, Invision, MidiCart, myBloggie, PHP-Nuke, PHPCart, phpmyadmin et PRADO
+ ArticleLive Bugs Let Remote Users Gain Administrative Access, Inject SQL Commands, and Conduct Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/May/1013895.html
+ AutoTheme for PostNuke Blocks Module May Let Remote Users Gain Access
http://www.SecurityTracker.com/alerts/2005/May/1013908.html
+ BirdBlog BB Code HTML Injection Vulnerability
http://www.securityfocus.com/bid/13520?ref=rss
+ FishCart SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/1165
+ Interspire ArticleLive 2005 Cross-Site Scripting and Security Bypass
http://secunia.com/advisories/15250/
+ Invision Power Board Cross-Site Scripting and SQL Injection
http://secunia.com/advisories/15265/
+ MidiCart PHP Shopping Cart Cross-Site Scripting and SQL Injection
http://www.secunia.com/advisories/15269/
+ Multiple vulnerabilities in myBloggie 2.1.1
http://www.securityfocus.com/archive/1/397546?ref=rss
+ PHP-Nuke SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/1180
+ PHPCart Authentication Flaw Lets Remote ...
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.5 et 4.4.0; MySQL 4.0.26, 4.1.14 et 5.0.13. Les mises à jour sont fortement recommandées vers ces versions.
12 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Complete, Cyphor, MediaWiki, PHP Advanced Transfer Manager, PHP-Fusion, phpMyAdmin, phpWebSite, Utopia, versatileBulletinBoard, Xeobook, YaPig et ZeroBlog
+ Complete PHP Counter Input Validation Holes Permit SQL Injection and Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/Oct/1015054.html
+ Cyphor Remote SQL Injection and Cross-Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/2264
+ MediaWiki History Database Corruption Vulnerability
http://www.securityfocus.com/bid/15041
+ PHP Advanced Transfer Manager HTML Upload Vulnerability
http://secunia.com/advisories/17134/
+ PHP-Fusion register.php activate Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=19866
+ phpMyAdmin Local file inclusion 2.6.4-pl1
http://www.securityfocus.com/archive/1/413152
+ phpWebSite Search Module Remote SQL Injection Vulnerability
http://www.frsirt.com/bulletins/2326
+ Utopia News Pro SQL Injection and Cross-Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/2265
+ versatileBulletinBoard SQL Injection and Cross-Site Scripting Issues
http://www.frsirt.com/bulletins/2314
+ Xeobook Multiple HTML Injection Vulnerabilities
http://www.securityfocus...
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.42 (entreprise), 4.1.22, ainsi que 5.1.19-beta. Les mises à jour sont recommandées vers ces versions.
5 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, Invision Power Board, Joomla, ez et vBulletin
Particle Gallery Search.PHP Cross-Site Scripting Vulnerability
Site :
Invision Power Board editorid Parameter Client-Side Cross Site Scripting Vulnerability
Site :
Joomla Phil-A-Form Component Index.PHP SQL Injection Vulnerability
Site :
Digirez Two Cross-Site Scripting Vulnerabilities
Site :
Multiple PHP remote file inclusion vulnerabilities in the creator in vBulletin Google Yahoo Site Map (vBGSiteMap) 2.41 for vBulletin allow remote attackers to execute arbitrary PHP code via a URL in the base parameter to (1) vbgsitemap/vbgsitemap-config.p
Site :
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin
Media Gallery for Geeklog _MG_CONF Remote File In...
Site :
PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability
Site :
SquirrelMail Multiple Cross Site Scripting Vulnerabilities
Site :
WordPress Redoable Theme s Cross-Site Scripting
Site :
Xoops Resmanager Module id_reserv SQL Injection
Site :
Digirez Multiple Cross Site Scripting Vulnerabilities
Site :
vBulletin title Script Insertion Vulnerability
Site :
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin
Media Gallery for Geeklog _MG_CONF Remote File In...
Site :
PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability
Site :
SquirrelMail Multiple Cross Site Scripting Vulnerabilities
Site :
WordPress Redoable Theme s Cross-Site Scripting
Site :
Xoops Resmanager Module id_reserv SQL Injection
Site :
Digirez Multiple Cross Site Scripting Vulnerabilities
Site :
vBulletin title Script Insertion Vulnerability
Site :
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.45 (communauté) et 5.0.45 (entreprise), 4.1.22, ainsi que 5.1.20-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Drupal, Joomla, SPIP, WordPress, phorum, phpMyAdmin et vBulletin
Drupal Project and Project Issue Tracking Modules Insecure Permissions Security Bypass Vulnerability
Site :
Joomla SimpleFAQ Component aid SQL Injection
Site :
SPIP Inc-Calcul.PHP3 Remote File Include Vulnerability
Site :
WordPress Blue Memories Theme s Cross-Site Scripting
Site :
m-phorum Index.PHP Cross-Site Scripting Vulnerability
Site :
RETIRED: phpMyAdmin Multiple Cross-Site Scripting Vulnerabilities
Site :
vBulletin V3.6.8 XSS Password Md5 Hash
Site :
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.4.0; MySQL 4.0.25, 4.1.13 et 5.0.10. Les mises à jour sont fortement recommandées vers ces versions.
MySQL fait l'objet d'une alerte sécurité suite à une vulnérabilité découverte dans Zlib, une bibliothèque de compression utilisée par MySQL. Il est recommandé de faire la mise à jour vers la version la plus récente de MySQL.
http://secunia.com/advisories/16170/
17 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Atomic, Beehive, BMForum, CaLogic, Contrexx, GForge, MySQL Eventum, phpBook, PhpFirstPost, phplist, PHPmyGallery, Sendcard, Simplicity, UNG, UseBB, VBZooM et Website Baker
+ Atomic Photo Album "apa_module_basedir" File Inclusion Vulnerability
http://www.frsirt.com/bulletins/1649
+ Beehive Forum SQL Injection and Cross Site Scripting Vulnerability
http://www.frsirt.com/bulletins/1653
+ BMForum announcesys.php forumid Variable XSS
http://www.osvdb.org/displayvuln.php?osvdb_id=18309
+ CaLogic mcconfig.php CLPATH Variable Remote File Inclusion
http://www.osvdb.org/displayvuln.php?osvdb_id=18060
+ Contrexx SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/1635
+ GForge Cross-Site Scripting Vulnerabilities
http://secunia.com/advisories/16253/
+ MySQL Eventum PEAR XML_RPC Remote Code Execution Vulnerability
http://www.frsirt.com/bulletins/1669
+ phpBook "guestbook.php" Cross S...
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.1.2 et 4.4.2; MySQL 5.0.18 et 4.1.16. Les mises à jour sont fortement recommandées vers ces versions.
38 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
BlogPHP, CubeCart, eggblog, Gallery, Joomla!, Mantis, microBlog, MyBB, PDFdirectory, PHlyMail, Phpclanwebsite, phpXplorer, SimpleBlog, TYPO3 et WordPress.
+ BlogPHP config.php SQL injection login bypass
http://www.securityfocus.com/archive/1/422484
+ CubeCart index.php Multiple Variable XSS
http://www.net-security.org/vulnerability.php?id=22471
+ eggblog Input Validation Holes Permit SQL Injection and Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2006/Jan/1015505.html
+ Gallery User Fullname Handling Cross Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0282
+ Joomla! Multiple Security Bypass and Information Disclosure Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0244
+ Mantis Saved Queries Unspecified XSS
http://www.net-security.org/vulnerability.php?id=22489
+ microBlog "month" and "year" Parameters SQL Injection Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0239
+ MyBB Signature HTML Code Injection
http://www.securityfocus.com/archive/1/422290
+ PDFdirectory Multiple Parameter Handling SQL Injection Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0231
+ PHlyMail Multiple S...
L'éditeur vient de publier sous licence open source Apache son outil interne de détection des failles de sites Web : « cross site scripting », injection de code SQL, mauvaise gestion des URL...
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.12. Les mises à jour sont fortement recommandées vers ces versions.
6 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Bitrix, Cacti, HTTP, MercuryBoard, paFAQ, et Whois.Cart.
+ Bitrix Site Manager dbquery_error.php Path Disclosure
http://www.osvdb.org/displayvuln.php?osvdb_id=17376
+ Cacti SQL Injection and Arbitrary File Inclusion Vulnerabilties
http://secunia.com/advisories/15490/
+ MercuryBoard Input Validation Hole in HTTP User-Agent Permits SQL Injection
http://www.SecurityTracker.com/alerts/2005/Jun/1014263.html
+ MercuryBoard "User-Agent" Remote SQL Injection Vulnerability
http://www.frsirt.com/bulletins/1464
+ paFAQ Flaws Let Remote Users Download the Database, Inject SQL Commands, Conduct Cross-Site Scripting Attacks, and Execute Arbitrary Code
http://www.SecurityTracker.com/alerts/2005/Jun/1014248.html
+ Whois.Cart Cross-Site Scripting and Local File Inclusion
http://secunia.com/advisories/15783/
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.11. Les mises à jour sont fortement recommandées vers ces versions.
11 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
eDMS, Help Center Live, New, OpenBB, PostNuke, SafeHTML, Serendipity, Shop-Script, Skull-Splitter's, Woltlab et Wordpress
+ eDMS Multiple Unspecified Vulnerabilities
http://secunia.com/advisories/15410/
+ Help Center Live Input Validation Bugs Permit SQL Injection and Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/May/1013986.html
+ NPDS comments.php thold Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=16648
+ OpenBB Cross-Site Scripting and SQL Injection Vulnerabilities
http://secunia.com/advisories/15336/
+ PostNuke Blocks Module "func" Directory Traversal Vulnerability
http://www.frsirt.com/bulletins/1241
+ SafeHTML Quotes Handling Security Bypass Vulnerability
http://www.securityfocus.com/bid/13659?ref=rss
+ Serendipity File Upload and Cross-Site Scripting Vulnerabilities
http://secunia.com/advisories/15405/
+ Shop-Script FREE index.php Multiple Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=16646
+ Skull-Splitter's PHP Guestbook Script Insertion Vulnerability
http://www.secunia.com/advisories/15377/
+ WoltLab Burning Board Input Validation Hole in verify_email() Permits SQL Injection
http://www.Securit...
acunetix propose une collection complète de tutoriels sur la sécurité PHP et celle des sites Web :
+ Injection SQL
+ XSS (Cross site scripting)
+ CRLF (détournement d'utilisateur)
+ Lecture de dossiers
+ Identifications
+ Google hacking
Autres actualités
- Les dangers de CSRF et XSS
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux [...]
- Nouveauté 2009 : 450 CR-F à injection !
C’est fait ! La 450 CR-F 2009 sera à injection électronique. Honda viens en effet de dévoiler sa prochaine reine du cross. Avec le système à injection, Honda rejoint ses concurrents directs tel que K[...]
- Première faille de sécurité trouvée dans le G1
Un groupe de chercheurs en sécurité, au sein duquel se trouve notamment l’ancien expert en sécurité informatique de la NSA Charles A. Miller, a découvert une faille de sécurité dans le navigateu[...]
- XSS : Cross Site Scripting
- Une faille corrigée sur Netvibes
Un internaute anonyme expliquait sur un blog Blogspot comment il avait pu profiter d'une faille de sécurité de Netvibes via un module externe conçu pour Netvibes raconte Vnunet.fr. On trouve le billet[...]
- Vista : grosse faille de sécurité
La firme de Redmond tenterait de minimiser une grosse faille de sécurité qui touche son dernier système d'exploitation Vista ? C'est en tout cas ce qu'affirme une experte en sécurité Joanna Rutkowska.[...]
- Faille de sécurité sur le logiciel de sécurité réseau Snort
Une faille dans le logiciel gratuit de sécurité réseau Snort pourrait rendre un certain nombre de réseaux vulnérables aux pirates. Snort est souvent utilisé, particulièrement dans les installations IB[...]
- Nouveauté cross 2010 : la 250 CR-F à injection
C’est au tour de Honda de livrer les premières informations sur ses nouveaux modèles cross 2010. On les attendait depuis le début de semaine, les voilà !! L’attention est principalement focalisée sur [...]
- Sécurité > 144 vulnérabilités dans la technologie VoIP
Après 2 ans de recherches, VoIPshield System a trouvé 144 vulnérabilités sur les produits de voix sur IP de Cisco Systems, Av...[...]
- Faille de sécurité sous Photoshop
Secunia rapporte qu'une faille de sécurité qualifiée de critique touche les versions CS2 et CS3 de Photoshop.
Cette faille est causée par une erreur dans la gestion des en-têtes de fichiers bitmap et [...]
- Le crime organisé paye pour que des vulnérabilités ne soient pas publiées
Le crime organisé soudoierait les experts en sécurité afin de les réduire au silence au sujet de vulnérabilités, selon des experts en sécurité de chez IBM au sein d’ISS.[...]
- Le mois de la sécurité PHP : 6 dernières vulnérabilités
Le mois de la sécurité PHP livre 6 dernières vulnérabilités internes de PHP, sans prototype.
44 PHP 5.2.0 Memory Manager Signed Comparision Vulnerability
43 PHP msg_receive() Memory Allocation Intege[...]
- L'obligation vaccinale est-elle encore justifiée ?
L'enquête a révélé l'extrême complexité du dossier ?obligation vaccinale? ainsi qu'une très vive opposition entre les partisans et les opposants, non pas à la vaccination (ceux-là sont rares) mais à l[...]
- Le GPS serait victime d'une faille de sécurité
Des chercheurs italiens viennent de révéler l'existence d'une faille de sécurité qui serait présente dans certains systèmes embarqués et permettrait d'intercepter les messages qui transitent par les b[...]
- Revue des scanners de vulnérabilités
Les scanners de vulnérabilités sont une gamme d'outil de sécurité, qui analyse un site en le soumettant à un maximum d'attaques : le noble but de cette quête est bien...[...]
|
|
|
Formation referencement
Formation au référencement par les spécialistes en référencement de Ranking Metrics : conférence le matin, atelier pratique l'après-midi.
|
|
|