A9 - Utilisation de composants avec des vulnérabilités connues.

Slides:



Advertisements
Présentations similaires
DRUPAL Wilhelm Keven Schweich Philippe. Table des Matières ● Avantages/Désavantages ● Mots clés ● Frontend ● Backend ● Contenu ● Structure ● Apparence.
Advertisements

Gestion de la concurrence avec Entity Framework Développement d’application avec base de données Chapitre 23 Hugo St-Louis – Automne 2015.
ATELIER : APPRENTISSAGE VOLET : Fiche de révision
Paramétrage des codes tâches Paramétrage des codes tâches / Droits d’accès / Temps passés 1 / Temps passés 2 / Paramétrage desDroits d’accès Temps passés.
Commerce électronique Automne  Introduction  Création du panier d’achats  Migration du panier d’achats  Conclusion.
Rover 5, technologie et innovation ● Notre problématique : ● Comment la robotique peut-elle assister ● l'homme dans un milieu à risque ? ● Application.
GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Journée du Logiciel Libre 28 Février 2009 Présentation ● Marc-Henri PAMISEUX, gérant de la SSLL Libricks à LAVAL, membre actif de l'association MAYLUG;
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
SPIP Un logiciel libre pour la gestion d'un site web d'informations SPIP.
1 Après 5 séances ● Utilisation du système Linux – Il faut maîtriser l'utilisation de la souris (« copy/paste » des textes donnés) – Utilisation de la.
Jesús MUÑOZ ( Créer son site internet avec Joomla!
Environnement Numérique de Travail. ● Qu'est-ce qu'un ENT ? C'est un site internet doté d'un accès sécurisé proposant des services numériques utiles à.
Comprendre les sites web MODULE 1 | CHRISTIAN BLÉSER (2015)
Créer un site Web avec Eva Spip Première approche B. Gugger – Mars 2006 – Département RTC.
WIKITEM L'encyclopédie collaborative des produits Diaporama de présentation libre de droits.
Dans le cadre de la modernisation des procédures administratives et de la réécriture du casier viticole informatisé (CVI), la DGDDI propose progressivement.
Josy "Outils collaboratifs" 1er octobre Le couplage Sympa - ferme de (doku)wikis pour les organisations virtuelles O. Lumineau, D. Verdin, O. Salaün,
1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.
Les commandes externes
Comment construire un profil efficace sur Viadeo ?
Découvrir FranceConnect
Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.
LimeSurvey : Logiciel Open Source pour réaliser des enquêtes
Formation aux TICE et pratiques pédagogiques:
Content Management System
J’ai un bug, qu’est-ce que je peux faire ? Samuel Thibault 7 Mars 2017
Comment accroître le nombre de contributions externes ?
Utilisation de PostgreSQL
Plateforme CountrySTAT
Présentation du projet d’E.P.I.
Le « Bugtracking » Alejandro FERNANDEZ – Etienne FONTEIX
Malwares 2017: Etat des lieux
PROJET 4BIS.NET.
JOURNEES D’ÉTUDES NATIONALES
Batterie TSE.
Le stage informatique de l'IPN
MS
Références directes non sécurisées à un objet
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
fonctionnalités iiS iis
Produire, collaborer, partager avec un blog d’école
E-lyco C’est quoi ?.
Gestion des sécurités sur les comptes User Access Control
Programmation système
Le site FORUM liste de diffusion DROPBOX GESTAPRC Travail collaboratif
Direction du système d’information et de la stratégie numérique
Drupal pour le site web de Parinux
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Découvrir FranceConnect
STS Web Services libres Créer un service libre
Présentation de la base Frantext
La gestion des habilitations par le partenaire
Gestion des sécurités sur les comptes User Access Control
Messagerie (Orange - Gmail)
Découvrir FranceConnect
Créer un diaporama avec Open Office Impress
Créer un site Word Press
FRAMEWORKS : XMLBEANS / STRIPES
Tableau de bord d’un système de recommandation
Découvrir FranceConnect
Test de performances. Test de performances:  Un test de performance est un test dont l'objectif est de déterminer la performance d'un système informatique.
Fonctions Abstractions procédurales.
YII Yes It Is !.
Découvrir FranceConnect
JOURNEES D’ÉTUDES NATIONALES « Évolution de la filière chaudronnerie »
Gérer les accès à un module
ScienceDirect Guide d’utilisation de la base de données : ScienceDirect Pr R. EL OUAHBI.
Site web, Ce qu’il faut savoir ?
Transcription de la présentation:

A9 - Utilisation de composants avec des vulnérabilités connues

Introduction Les systèmes déjà conçus que l'on utilise pour faire d'autres projets sont en constante évolution. Par exemple, Drupal, Curse (Addons). Beaucoup de ces systèmes sont en Opensource et contiennent des modules définis qui peuvent être activé ou ignoré. Souvent lorsqu'un système prend de l’ampleur la communauté augmente et ce sont eux qui vont créer les modules.

Post-Nuke C'est une C3MS, (Community, Collaboration, Content Management System). Application qui permette de gérer une communauté, collaboration entre les membres et le contenus. Évidemment ça cause des problèmes quand ceux-ci (les membres) sont tout nouveaux et apprennent en faisant des modules qui peuvent parfois ressortir avec des bugs.

Environnement Affectés Étant donné que le Post-Nuke est en PHP, il va de soit que seul les utilisateur de PHP auront ces problèmes et les sites fait avec Post- Nuke. La particularité de Post-Nuke est que son code se trouve dans une base de donnée qui sera relié a un son module. Donc lorsqu'un module est activé par l'utilisateur, le site lit la base de donnée pour trouver le code qu'il doit effectuer.

Post-Nuke Post-Nuke fonctionne avec des modules

Les modules sont en ligne et lié aux comptes administrateurs en plus d'être intégrer dans une base de données.

Exemple de Cas Le module de 'gallery' était fait pour ceux qui étaient enregistrés sur le site. Cependant, c'était tout de même possible d'y accéder en tant qu'utilisateur non-enregistré. Le programmeur a dut écrire du code pour empêcher les fraudeurs d'accéder à la 'gallery' sans être connecter.

Comment éviter la faille ● Les Updates du système. ● Regarder pour des fixes rapides sur internet en attendant le patch officiel. ● Désactiver la fonctionnalité si elle n'est pas utilisée. ● Créer un fix personnel pour contourner la faille.

Conclusion Les programmes open source sont souvent très plaisant à utiliser et souvent très facile d'utilisation mais il faut faire attention avec les ajouts que l'on peut y faire. Si un module a été conçu par un néophyte, il est possible qu'il ait des lacunes qu'une personne plus expérimenté aurait couvert.

Webinographie ● ● scripts-269/things-leak-35124/ scripts-269/things-leak-35124/ ● ●