Ankaa Pmo®

Vulnérabilités de sécurité dans CasaOS

Actualités, Méthodes et organisation des process IT

Les vulnérabilités de sécurité sont un problème majeur dans CasaOS. Nous allons examiner les différentes façons dont ces problèmes peuvent être résolus.

## Dans le cadre de notre effort continu pour améliorer notre technologie Clean Code et la sécurité de l’écosystème open-source, notre équipe R&D est toujours à l’affût de nouvelles vulnérabilités de sécurité 0-day dans des logiciels populaires.

To ensure the security of our users, we conducted a thorough testing process to identify and fix the vulnerabilities. We followed the industry standard for testing and security protocols, including static and dynamic analysis, fuzzing, and penetration testing. We also collaborated with the CasaOS team to ensure the security of their product.

Dans le cadre de nos efforts continus visant à améliorer notre technologie Clean Code et la sécurité de l’écosystème open-source, notre équipe R&D est toujours à la recherche de nouvelles vulnérabilités de sécurité 0-day dans les logiciels les plus répandus.

Récemment, nous avons découvert deux vulnérabilités critiques dans une solution de cloud personnelle nommée CasaOS. CasaOS peut être installé sur n’importe quelle machine grâce à Docker et est livré avec des périphériques NAS pour les utilisateurs finaux tels que le ZimaBoard ou le X86Pi. Les utilisateurs déploient CasaOS pour stocker leurs données personnelles sur des appareils qu’ils peuvent faire confiance et y accéder depuis n’importe où.

Pour assurer la sécurité de nos utilisateurs, nous avons mené un processus de test approfondi pour identifier et corriger les vulnérabilités. Nous avons suivi les normes de l’industrie pour les tests et les protocoles de sécurité, y compris l’analyse statique et dynamique, le fuzzing et les tests d’intrusion. Nous avons également collaboré avec l’équipe CasaOS pour assurer la sécurité de leur produit.

Source de l’article sur DZONE

7 novembre 2023/par Service comm.

Test de pénétration d’application Web : qu’est-ce que c’est ?

Actualités, Méthodes et organisation des process IT

Le test de pénétration d’application Web est une méthode pour vérifier la sécurité des applications Web. Découvrez comment cela fonctionne !

C’est également connu sous le nom de test de pénétration d’application web ou de test de sécurité, qui est une évaluation organisée de la sécurité d’une application web pour identifier l’exposition et la faiblesse qui pourraient être exploitées par des acteurs malveillants.

1. Identifying the target application and its environment.

2. Gathering information about the target application.

3. Identifying potential vulnerabilities.

4. Exploiting the identified vulnerabilities.

5. Documenting the results and providing recommendations.

Le test d’intrusion des applications web, également connu sous le nom de test de sécurité ou de test d’intrusion, est une évaluation organisée de la sécurité d’une application web afin d’identifier les expositions et les faiblesses qui pourraient être exploitées par des acteurs malveillants. L’objectif principal du test d’intrusion est d’évaluer de manière proactive la posture de sécurité d’une application web et d’identifier les vulnérabilités potentielles avant que des attaquants ne puissent les exploiter.

Pendant un test d’intrusion d’application web, des professionnels de la sécurité qualifiés, connus sous le nom de testeurs d’intrusion ou de hackers éthiques, simulent divers scénarios d’attaque pour découvrir les failles de sécurité qui pourraient entraîner un accès non autorisé, des violations de données ou d’autres activités malveillantes. Le processus implique les points suivants :

1. Identification de l’application cible et de son environnement.

2. Recueil d’informations sur l’application cible.

3. Identification des vulnérabilités potentielles.

4. Exploitation des vulnérabilités identifiées.

5. Documentation des résultats et fourniture de recommandations.

Le test d’intrusion des applications web est un processus essentiel pour assurer la sécurité des logiciels et des systèmes informatiques. Les tests d’intrusion peuvent être effectués manuellement ou automatiquement à l’aide de logiciels spécialisés. Ces outils peuvent être utilisés pour rechercher des vulnérabilités connues et des failles de sécurité dans les applications web et les systèmes informatiques. Les tests d’intrusion peuvent également être effectués pour vérifier si les applications web respectent les normes et les réglementations en matière de sécurité.

Les tests d

Source de l’article sur DZONE

28 septembre 2023/par Service comm.

4 Major Steps Of Web Application Penetration Testing

Actualités, Méthodes et organisation des process IT

In the early days of the internet, security was little but an afterthought. Then as hackers started to exploit businesses’ lax security postures, things gradually started to change. At first, nonprofits like the Electronic Frontier Foundation started pushing web users to embrace HTTPS Everywhere. In response, certification authorities began offering free SSL certificate variations to any site admin that wanted one. As a result, at least 79.6% of all active websites now use SSL.

That was only the beginning. In the ensuing years, developers and web application administrators gradually started to harden their apps against all manner of attacks. They rolled out more complex password requirements. They started to add two-factor authentication as a default measure. They even started putting public-facing services behind high-performance web application firewalls.

Source de l’article sur DZONE

15 juillet 2022/par Service comm.

Automated Pen Testing With Zed Attack Proxy

Actualités, Méthodes et organisation des process IT

In this post, you will learn how to execute penetration tests with OWASP Zed Attack Proxy (ZAP). ZAP is a free web app scanner which can be used for security testing purposes.

1. Introduction

When you are developing an application, security must be addressed. It cannot be ignored anymore nowadays. Security must be taken into account starting from initial development and not thinking about it when you want to deploy to production for the first time. Often you will notice that adding security to your application at a later stage in development, will take a lot of time. It is better to take security into account from the beginning, this will save you from some painful headaches. You probably have some security experts inside of your company, so let them participate from the start when a new application needs to be developed. Nevertheless, you will also need to verify whether your developed application is secure. Penetration tests can help you with that. OWASP Zed Attack Proxy (ZAP) is a tool which can help you execute penetration tests for your application. In this post, you will learn how to setup ZAP and execute tests with the desktop client of ZAP. You will also need a preferably vulnerable application. For this purposes, Webgoat of OWASP will be used. In case you do not know what Webgoat is, you can read a previous post first. It might be a little bit outdated because Webgoat has been improved since then, but it will give you a good impression of what Webgoat is. It is advised to disconnect from the internet when using Webgoat because it may expose your machine to attacks.

Source de l’article sur DZONE

21 avril 2021/par Service comm.

Cybersecurity During a Pandemic: An Interview With Critical Start

Actualités, Méthodes et organisation des process IT

In our current time of crisis, it’s a sad fact that there are many taking advantage of distracted governments, businesses, and individuals. With the majority of workforces in the Western world currently working from home, often on insecure networks, and far removed from their typical IT support structure, an increase in cybersecurity threats has reared its head during the COVID-19 crisis.

I recently spoke with Quentin Rhoads-Herrera of CRITICALSTART to discuss trends they have recently witnessed, how the company is helping during the crisis, and cutting through some cybersecurity jargon. You can hear the full interview below.

Source de l’article sur DZONE

23 avril 2020/par Service comm.

Evaluating Your Security Controls? Be Sure to Ask the Right Questions

Actualités, Sécurité de l'information et du SI, Sécurité de l’information, Sécurité du système d’information

Testing security controls is the only way to know if they are truly defending your organization. With many different testing frameworks and tools to choose from, you have lots of options. But what do you specifically want to know? And how are the findings relevant to the threat landscape you face at this moment? « Decide what you want to know and then choose the best tool for the job. »
Source de l’article sur The Hacker News

20 janvier 2020/0 Commentaires/par Service comm.

Broadening the Scope: A Comprehensive View of Pen Testing

Actualités, Sécurité de l'information et du SI, Sécurité de l’information, Sécurité du système d’information

Penetration tests have long been known as a critical security tool that exposes security weaknesses through simulated attacks on an organization’s IT environments. These test results can help prioritize weaknesses, providing a road-map towards remediation. However, the results are also capable of doing even more. They identify and quantify security risk, and can be used as a keystone in
Source de l’article sur The Hacker News

16 janvier 2020/0 Commentaires/par Service comm.

Articles

C’est également connu sous le nom de test de pénétration d’application web ou de test de sécurité, qui est une évaluation organisée de la sécurité d’une application web pour identifier l’exposition et la faiblesse qui pourraient être exploitées par des acteurs malveillants.

1. Introduction