fr . comp . lang . php


Service Usenet Gratuit - You The Net .Com Consultez les groupes de news usenet nntp avec www.youthenet.com Postez et suivez voos fils de discussions gratuitement avec you the net .com le service gratuit de news en ligne

Re: testeur de securite sur Fr Comp Lang Php



Groupes les plus fournis
misc finance comp mail serveurs soc travail independant rec modelisme misc droit soc rural bio medecine comp sys palm-pilot misc engueulades comp usenet serveurs lettres langues-anciennes grec misc engeulades rec philatelie rec tv satellite comp os ms-windows xp rec cuisine bonnes-adresses test usenet-fr emile durkheim art poesie comp securite


Derniers posts youthenet
Re: Démission pour création d'entreprise commerce ou service Que pensez-vous de la doctrine de James Madison ? Re: envoi des données à un serveur html la demeure du chaos Re: Alice au pays de Free (d'après la t ribune) Re: Est-ce ue violation de la GPL? Re: L'ultra libéralisme du chemin de fer prôné par Sarkozy... Président langue de bois ? la compagnie de l'autre

actualité

4 conseils pour le déploiement d'une application Rails
Journal du Net - Il y a 20 heures
... le déploiement n'est absolument pas quelque chose de difficile et stressant comme certains tendent à le montrer avec des applications PHP par exemple. ...
Drawin.fr : service de partage d'oeuvres graphiques ! Infos Jeunes France
3 autres articles
source

actualité

Union sans orage entre salesforce et Amazon
Silicon.fr - Il y a 22 heures
Avec l'accès aux services Web Amazon EC3, le développeur peut enrichir ses applications avec d'autres langages qu'Apex, comme PHP ou Ruby. ...
Salesforce rapproche sa plateforme d'Amazon et de Facebook LeMagIT
Salesforce.com propulse les sites Web dans les nuages Journal du Net
3 autres articles
source
Accueil |  Ajouter aux Favoris |  Inscription |  connexion |  Flux RSS de fr.comp.lang.php |

fr . comp . lang . php

Re: testeur de securite



accueil . fr . comp . lang . php




Re: testeur de securite

   
Sujet: Re: testeur de securite
De: nomail (l' arobase) please.invalid (Gilles RONSIN)
Groupes: fr.comp.lang.php
Organisation: Guest of ProXad - France
Date: 28. Jul 2008, 14:24:02
John GALLET <john.gallet@wanadoo.fr>, le lun. 28 juil. 2008
13:18:16, écrivait ceci:

Re,

Je ne connais pas d'analyseur automatique de code php, seulement
des scanneurs qui testent le comportement de l'application.

En fait, tu as raison. C'est plus le principe du scan de comportement,
qui m'interesse. Je me suis donc mal exprimé. (d'ailleurs j'imagine un
scanneur qui regarderait certains de mes codes :-$ )
 
De la même façon que les antivirus, ils ne sont "efficaces" que
pour la détection des signatures connues.

J'ai du mal à voir ce que peut bien être une "signature" dans du
code source.

Je citais cette méthode, uniquement pour illustrer le fait qu'un
antivirus ne peut contrôler que ce qu'il connait (les signatures ou les
codes heuristiques)

Pour avoir essayé moi même de faire des recherches
systématisées lors de certains audits (récemment, un paquet de
m***e de plus de 2500 fichiers écrit via MXKart, le soft
d'Interakt, plugin générateur de code pour Dreamweaver), je pense
qu'on peut écrire un programme qui va vérifier les injections
possibles de variables dans les chemins des includes (ce type de
truc génère des milliers d'include dynamiques, dans des boucles,
un vrai bohneur), c'est uniquement suivre la source de la donnée.
On peut aussi avoir un signal d'alarme sur des fonctions
"dangereuses" du genre exec/system ou import_request_variables,
mais à part ça...

C'est déjà bien d'avoir ça. Même au niveau newbee, ça permet de ne pas
prendre de mauvaises habitudes.
 

J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html

Ca date un peu, mais je n'ai rien vu de révolutionnaire arriver
depuis concernant PHP en lui même. On peut ajouter des choses
dangereures côté client (les PDF dans la liste des fichiers
dangereux à accepter en upload par exemples, avec leur cochonnerie
de JS embarqué) mais je n'ai rien vu de radicalement différent
côté serveur. Bien entendu, le paragraphe sur "c'est valide grâce
à javascript" est encore plus vrai avec "ajax".

Des papiers commencent à circuler sur les nouvelles conneries
liées au stockage côté client de html 5, et ça va être rigolo
probablement, mais pour le moment on y est pas encore.

Oui. J'avais déjà vu cette page, et m'en était fortement inspiré, le
jour où l'on m'a mis un projet php dans les mains. Je profite que l'on
soit en "conversation" pour t'en remercier : je suis passé pour moins
profane que je l'était réellement :-).


Date Sujet  Auteur
22.07. * testeur de securiteGilles RONSIN
27.07. `* Re: testeur de securiteJohn GALLET
28.07.  `* Re: testeur de securiteGilles RONSIN
28.07.   `* Re: testeur de securiteJohn GALLET
28.07.    `* Re: testeur de securiteGilles RONSIN
29.07.     `- Re: testeur de securiteJohn GALLET
Derniers articles
petites-annonces informatique autos mitsubishi jobs offres jobs demandes jobs d jobs rec bateaux rec philatelie soc economie usenet forums evolution misc engeulades misc engueulades usenet-fr emile durkheim rec photo numerique misc finance

Derniers messages
petites-annonces informatique autos mitsubishi jobs offres jobs demandes jobs d jobs sci philo rec bateaux misc finance petites-annonces immobilier usenet forums evolution soc economie rec sport vtt rec philatelie rec photo numerique

actualité

4 conseils pour le déploiement d'une application Rails
Journal du Net - Il y a 20 heures
... le déploiement n'est absolument pas quelque chose de difficile et stressant comme certains tendent à le montrer avec des applications PHP par exemple. ...
Drawin.fr : service de partage d'oeuvres graphiques ! Infos Jeunes France
3 autres articles
source

actualité

Appartement climatisé au coeur de Guéliz à Marrakech
Casafree.com - 4 nov 2008
Voir les 13 annonces de jaxipol en cours de publication. Casafree utilise les technologies : Php, Mysql, Xoops, et vous recommande l'utilisation de Firefox.
source

 




Copyright 2008 ©  - YouTheNet.com

| Vitamin B1 |