| Titre : | MISC: Multisystem & Internet, Security, Cookbook, N°30 HS - Octobre - novembre 2024 - Sécurisez vos codes : comprendre les failles pour limiter les vulnérabilités ! |
| Type de document : | Bulletin : texte imprimé |
| Paru le : | 01/10/2024 |
| Année : | 2024 |
| Format : | 114 p. / 28 cm |
| Langues: | Français |
Dépouillements
Ajouter le résultat dans votre panier
Article : texte imprimé
Pierre-Emmanuel Gros, Auteur
| 2024
"Le but de cet article est de mettre en lumière les RFC 9421 et 9530 qui normalisent la signature des requêtes/réponses HTTP. Ces normes autorisent à améliorer grandement la sécurité des appels REST afin de garantir l’intégrité, la non-répudiation et la provenance des réponses." (Extrait de MISC HS n°30)
Article : texte imprimé
Serge Guelton, Auteur
| 2024
"C, C++, Python, ADA, Ruby, Java, Rust, MISRA-C, Swift et j’en passe. Autant de noms de langages qui se voient associés pour leur plus grand bien ou pour leur malheur à la question de la sécurité. Ou de la sûreté. Ou les deux. En cinquante ans, les besoin...
Article : texte imprimé
Rémy Salim, Auteur
| 2024
"Les integer overflow ou wraparound, ou CWE-190 pour les intimes, sont une vulnérabilité présente en programmation depuis des décennies. Elle se produit lorsqu’une opération arithmétique tente de créer une valeur numérique supérieure à la valeur maximale ou inférieure à la valeur minimale pouvant être représentée dans l'espa...
Article : texte imprimé
Béatrice Creusillet, Auteur
| 2024
"Ou plus spécifiquement, ne déréférencez en aucun cas un pointeur après un free ! Facile ? L'utilisation de pointeurs après leur libération (Use After Free) fait toujours aujourd'hui partie du top 5 des vulnérabilités listées par MITRE (https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html). Avec des conséquences qui peuven...
Article : texte imprimé
Serge Guelton, Auteur
| 2024
"L’histoire, ou plutôt l’Histoire, est une coquine. Et quand Dennis Ritchie et Ken Thompson inventent le langage C en 1972, ils prennent une décision anodine, une micro-optimisation qui fait gagner quelques octets, mais qui aura un impact important sur la sécurité de nombreux systèmes : en C, les chaîn...
Article : texte imprimé
Serge Guelton, Auteur
| 2024
"La fonction system(3), disponible dans la bibliothèque C standard et standardisée dès C89, est symptomatique d’une époque où la sécurité n’était pas la priorité des développeurs. La lecture de sa page de manuel est pleine d’avertissements, qui sont autant d’enseignements potentiels. Allez, c’est par...
Article : texte imprimé
Serge Guelton, Auteur
| 2024
"Il y a 19 ans, Ulrich Drepper, alors développeur chez Red Hat et un des contributeurs principaux de la glibc, ajoutait au changelog de la glibc la ligne suivante : sysdeps/i386/bsd-_setjmp.S: Use PTR_MANGLE for PC if defined, inaugurant ainsi l’arrivée de la protection des pointeurs d...
Article : texte imprimé
Serge Guelton, Auteur
| 2024
"En 1996, Aleph One publiait dans l’e-zine Phrack un article intitulé « Smashing the Stack for Fun and Profit ». C’était il y a plus de 25 ans et les principes énoncés dans cet article sont toujours valides, même si leur exploitation est devenue plus technique.De manière plus conventionnelle, l’éc...
Article : texte imprimé
Juan Manuel Martinez Caamano, Auteur
| 2024
"En 2014, un groupe de chercheurs en sécurité a découvert une vulnérabilité dans l’extension du Heartbeat TLS dans OpenSSL : elle permettait de révéler jusqu’à 64 Ko de mémoire du processus. Ce bug, connu sous le nom de Heartbleed, était le résultat d'une erreur de programmation assez courante, mais d...
Article : texte imprimé
Adrien Guinet, Auteur
| 2024
"Le combat pour rendre l’exploitation de bugs passe entre autres par rendre la réutilisation de code de plus en plus difficile. Pointer Authentication Code (PAC) est une extension apparue avec l’architecture ARMv8.3 en mars 2016 et qui va dans ce sens. Elle est notoirement utilisée dans tous les appareil...
Article : texte imprimé
Debuggus Maximus, Auteur
| 2024
"Quand il est question d'identifier les différentes techniques qu'un attaquant peut mobiliser pour contrôler un processus ou en extraire des données, il est intéressant de mentionner ptrace(2). Rien de révolutionnaire ici, étant donné que cet appel système est présent depuis UNIX version 6 [1]. Pour ainsi dire : une éternité. Néanmoins...
Article : texte imprimé
Paul Blottiere, Auteur
| 2024
"« Pour être efficace, il faut cacher ses intentions. » (N. Machiavel, 1527). Dans l’univers des malwares, il existe un type de menace spécifique dont le but est entre autres de dissimuler sa présence afin d'utiliser les ressources de la machine infectée : les rootkits. Une des nombreuses techniques sous-jacentes est le ...
Article : texte imprimé
Jordan Samhi, Auteur
| 2024
"Le jeu du chat et de la souris : c’est ce qui résume le plus le combat que mènent les analystes contre les cybercriminels, où chaque partie cherche à devancer l’autre : sauf que les attaquants ont souvent (toujours ?) une longueur d’avance. Dans ce contexte, diverses techniques sont utilis...
Exemplaires (1)
| Localisation | Section | Support | Cote de rangement | Statut | Disponibilité |
|---|---|---|---|---|---|
| Bibliothèque IESN | _Périodiques | Périodique | 68 MIS HS 30 | Empruntable sur demande | Disponible |
