Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 553
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 553
    Points : 251 777
    Points
    251 777
    Billets dans le blog
    103

    Par défaut Mozilla développe un Framework gratuit de tests de sécurité pour le Web

    Mozilla développe un framework gratuit de tests de sécurité pour le Web
    la bêta de Minion sera disponible au premier trimestre 2013

    L’équipe en charge de la sécurité informatique au sein de la fondation Mozilla travaille sur un framework open source de tests de sécurité automatisés pour les applications Web.

    Baptisé Minion, ce framework de tests est construit, selon la fondation Mozilla, pour combler le fossé entre les développeurs et les testeurs de sécurité. Pour cela, Minion permettra aux développeurs d’analyser leurs projets à partir d’une interface Web conviviale.

    Il pourra être utilisé pour tester la sécurité tout le long du cycle de développement d’une application ou d’un service Web, afin que le développeur soit conscient des problèmes le plus tôt possible.

    Le projet implémente des outils de tests d’applications comme : OWASP Zed Attack Proxy (ZAP), une solution intégrée de tests et de pénétration pour trouver les vulnérabilités dans les applications Web ; Skipfish, le scanner de vulnérabilités Web Open Source ; Nmap, un scanner de ports open source ou encore Garmr, l’outil de tests de sécurité de la fondation Mozilla.




    Les données générées au cours des tests pourront être recueillies et analysées par les développeurs. Pour empêcher les pirates d’utiliser le framework pour analyser les failles des sites Web, le service vérifiera pour chaque test si les propriétaires sont effectivement à l’origine de la demande.

    Par ailleurs, Minion devra être « très très sécurisé », car il contiendra des données sensibles comme des informations sur les problèmes de sécurité les plus répandus.

    La fondation Mozilla envisage de publier une bêta de Minion au cours du premier trimestre de cette année. Le framework sera utilisé par l’organisme en interne sur ses propres applications Web et sera disponible également comme un service.

    Le Wiki du projet

    La vidéo de présentation

    Source : Mozilla


    Et vous ?

    Que pensez-vous de Minion ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Nouveau membre du Club
    Profil pro
    Inscrit en
    mars 2007
    Messages
    18
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 18
    Points : 38
    Points
    38

    Par défaut

    Pour empêcher les pirates d’utiliser le Framework pour analyser les failles des sites Web, le service vérifiera pour chaque test si les propriétaires sont effectivement à l’origine de la demande.
    Totalement inutile puisque le produit est open source, non ?

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Developpeur
    Inscrit en
    avril 2002
    Messages
    3 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : avril 2002
    Messages : 3 789
    Points : 10 435
    Points
    10 435

    Par défaut

    S'il suffisait changer deux ligne dans le code pour faire tomber la protection, ca ne serait pas une protection. Les gens de chez Mozilla ne sont pas idiots.

    Je suppose que c'est fait coté serveur et que l'on ne pourra donc y avoir accès (a moins bien sur que le serveur ait déjà été piraté.)

  4. #4
    Membre extrêmement actif
    Avatar de Aurelien Plazzotta
    Homme Profil pro
    Programmeur D
    Inscrit en
    juillet 2006
    Messages
    305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Programmeur D

    Informations forums :
    Inscription : juillet 2006
    Messages : 305
    Points : 1 014
    Points
    1 014

    Par défaut

    Le produit marche sur les plate-bandes des testeurs en sécurité, ce qui va légèrement diminuer l'attrait des entreprises pour ce genre de postes.

    Je ne suis pas contre l'innovation hein, c'est une simple observation
    Je porte l'épée brisée, et sépare les vrais rois des tyrans. Qui suis-je ?

  5. #5
    Nouveau membre du Club
    Profil pro
    Inscrit en
    mars 2007
    Messages
    18
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 18
    Points : 38
    Points
    38

    Par défaut

    Que ça soit ZAP, Skipfish, Nmap ou Garmr, ce sont pas des outils qui analysent le code, ils agissent comme de simple "visiteur", autrement dis il n'y a pas besoin de droit spécifique côté serveur pour lancer ces outils.

    A partir de là, je vois pas trop ce qu'ils peuvent "bloquer" sans que ça soit utilisable sans l'autorisation du serveur.

  6. #6
    Membre expert
    Avatar de Samuel_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2012
    Messages
    376
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 376
    Points : 3 319
    Points
    3 319
    Billets dans le blog
    1

    Par défaut

    Citation Envoyé par Kenaryn Voir le message
    Le produit marche sur les plate-bandes des testeurs en sécurité, ce qui va légèrement diminuer l'attrait des entreprises pour ce genre de postes.
    Je ne pense pas qu'un simple Framework en bêta peut remplacer une personne avec ses compétences et son expérience.

    Mais sinon l'idée de ce Framework est bonne, surtout pour les développement perso et les petites entreprises.

    Ne pas oublier mais aussi

    "L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai "

  7. #7
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 030
    Points : 4 084
    Points
    4 084

    Par défaut

    Ca peut être sympa pour faire une première (ou dernière) passe de vérification de sécurité. Moi je prends.

  8. #8
    Membre éprouvé Avatar de leminipouce
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2004
    Messages
    754
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : janvier 2004
    Messages : 754
    Points : 1 274
    Points
    1 274

    Par défaut

    En plus d'être un super point positif pour tous les dév qui sont fait sans financement sur l'aspect sécurité, c'est aussi un super point de départ pour se sensibiliser et s'informer sur les problématiques de sécurité.

    Je prends !
    Si , et la ont échoué mais pas nous, pensez à dire et cliquez sur . Merci !

    Ici, c'est un forum, pas une foire. Il y a de respectables règles... à respecter !

  9. #9
    Membre à l'essai
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2009
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2009
    Messages : 15
    Points : 10
    Points
    10

    Par défaut detectify

    je pense que le framework va faire la même chose que detectify qui propose un service pour faire un scan de votre site pour y trouver d'éventuels exploits !

  10. #10
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    septembre 2007
    Messages
    8 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : septembre 2007
    Messages : 8 239
    Points : 14 314
    Points
    14 314

    Par défaut Securite mozila

    En parlant de minion, j'ai pensé à eux.

  11. #11
    En attente de confirmation mail
    Homme Profil pro
    Inscrit en
    février 2013
    Messages
    35
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : février 2013
    Messages : 35
    Points : 37
    Points
    37

    Par défaut

    rien ne vaudras jamais l'audit d'un humain, il y plein de façons de tromper un bot de scan dans son application web.
    De plus dans le meilleur des mondes où le bot trouve toutes les failles, comment celui qui ne s'y connait pas interprète les résultats ?
    XSS volotille == mon site vas se faire pirater :O :peur:
    SQL == bof.. ça doit etre comme une xss, c'est pas bien grave

    nikto , nessus, nmap sont déjà là, et encore une fois , faut bien distinguer la detection de la correction des failles (sans compter l'audit plus approfondi de l'apl)

    BOT : http://site.tld/index.html == Arf... site statique aucune faille (dommage il y avais ça dans l'htaccess AddType application/x-httpd-php .html)
    M'enfin, encore un piège à con pour ceux qui croient qu'il n'existe que deux état de sécurité, true || false mais bon, tant mieux, ça fait des places sur le marché du travail

  12. #12
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 468
    Points
    32 468

    Par défaut

    Mozilla s’associe à BlackBerry pour renforcer la sécurité des navigateurs
    Et publie Minion l’outil de test automatisé de la sécurité des applications pour tous

    À travers le fruit de sa collaboration avec BlackBerry pour la conception de Peach, ainsi que la sortie de la plateforme open source de test de sécurité des applications web Minion 0.3, Mozilla renforce son ambition de faire un Web ouvert, innovant, mais surtout plus sûr.

    Qu'est-ce que Peach ? Peach est un système automatisé de test de sécurité d’application basé sur le principe de « Fuzzing », qui a pour objectif d’injecter des données aléatoires dans une application spécifique dans le but de pousser cette dernière à se comporter de façon inattendue. Le « Fuzzing » est une méthode simple et puissante utilisable dans la détection des bogues, des vulnérabilités logicielles qui sont ainsi adressables bien avant même que les utilisateurs n’y soient exposés.


    Les outils comme Peach sont certes très puissants, mais ils requièrent l’expertise des professionnels de la sécurité pour la bonne compréhension des résultats des tests qu’ils génèrent. La plateforme Minion à l’inverse mise sur la simplicité. Elle permettra à tous, expert en sécurité ou non, d’optimiser la sécurité de leurs applications. Débuté l’année dernière, Minion est encore en développement. Cet outil a de beaux jours devant lui et promet à l’avenir l’ajout de nombreuses fonctionnalités.

    Par ailleurs, l'équipe de développement tient à préciser que Minion est une plateforme et non un outil de sécurité. De ce fait, les développeurs devront l’ajouter via des outils complets et externes utilisés dans le domaine de la sécurité comme Nmap et bien d'autres.



    Télécharger Peach

    Téléchargez la machine virtuelle Minion

    Source : Mozilla

    Et vous ?

    Quelle(s) solution(s) de tests d'applications utilisez-vous en entreprise ?

    Utiliserez-vous l'une des solutions de Mozilla pour la même tâche ?

  13. #13
    Membre confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2009
    Messages
    353
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juillet 2009
    Messages : 353
    Points : 538
    Points
    538

    Par défaut

    vivement la création d'un tuto sur l'utilisation de ces logiciels et les bonnes pratiques pour sécuriser son site web

Discussions similaires

  1. [App Gratuite Productivité] Test nouvelle technologie pour supprimer l'attente
    Par Vite Ma Hotline dans le forum Mon application mobile
    Réponses: 0
    Dernier message: 22/01/2015, 18h35
  2. Développer son Framework MVC
    Par NearZero dans le forum Langage
    Réponses: 0
    Dernier message: 29/12/2010, 14h07
  3. Réponses: 0
    Dernier message: 05/07/2010, 12h15
  4. ERP ou développement sur framework ?
    Par k-nine dans le forum Forum général ERP
    Réponses: 1
    Dernier message: 20/02/2009, 19h40
  5. [POO] Développer son Framework
    Par T0xF0x dans le forum Syntaxe
    Réponses: 4
    Dernier message: 28/12/2006, 14h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo