It’s no surprise that all of the improvements seen in the information technology realm helped both the good guys and the bad. Consequently, we’ve seen a steep increase in the amount of malware and website exploits seen throughout websites.
To become a cybercriminal in days past you had to be a skilled programmer, social engineer and server administrator rolled into one. Technological advances virtually removed this barrier. Today, you only need a basic understanding of programming to potentially compromise hundreds of thousands of websites. (Latest in Web Application Vulnerabilities)
Panne de septembre 2012[modifier]
Le 10 septembre 2012, Go Daddy connaît une panne pendant plusieurs heures, 50 millions de site web sont inaccessibles. Un utilisateurTwitter, se disant membre du réseau Anonymous, revendique une attaque DDoS et annonce être à l'origine de la panne.
Quelques heures plus tard, cette annonce est démentie par Go Daddy, qui impute la panne à une série d’événements internes ayant corrompue ses données.2
Un soutien à la loi SOPA, et le boycott qui a suivi[modifier]
GoDaddy a publié plusieurs communiqués annonçant son soutien au projet de loi SOPA, "Stop Online Piracy Act". Ce soutien a provoqué la création de groupes appelant au boycott de GoDaddy4, notamment via le site godaddyboycott.org5, soutenu par des groupes sur Reddit et divers sites. Jimmy Wales, cofondateur de Wikipedia, a annoncé sur twitter et facebook qu'il quitterait GoDaddy. Le vendredi 23 décembre 2011, plus de 23 000 noms de domaines ont quitté GoDaddy.
The OWASP Foundation
The OWASP Foundation came online on December 1st 2001 it was established as a not-for-profit charitable organization in the United States on April 21, 2004 to ensure the ongoing availability and support for our work atOWASP. OWASP is an international organization and the OWASP Foundation supports OWASP efforts around the world. OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. We can be found at www.owasp.org.
OWASP is a new kind of organization. Our freedom from commercial pressures allows us to provide unbiased, practical, cost-effective information about application security. OWASP is not affiliated with any technology company, although we support the informed use of commercial security technology. Similar to many open-source software projects, OWASP produces many types of materials in a collaborative, open way. The OWASP Foundation is a not-for-profit entity that ensures the project's long-term success.
OWASP Top 10 Application Security Risks - 2010
OWASP Top 10 Application Security Risks - 2010
| Injection flaws, such as SQL, OS, and LDAP injection, occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing unauthorized data. | |
| XSS flaws occur whenever an application takes untrusted data and sends it to a web browser without proper validation and escaping. XSS allows attackers to execute scripts in the victim’s browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites. | |
| Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, session tokens, or exploit other implementation flaws to assume other users’ identities. | |
| A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, or database key. Without an access control check or other protection, attackers can manipulate these references to access unauthorized data. | |
| A CSRF attack forces a logged-on victim’s browser to send a forged HTTP request, including the victim’s session cookie and any other automatically included authentication information, to a vulnerable web application. This allows the attacker to force the victim’s browser to generate requests the vulnerable application thinks are legitimate requests from the victim. | |
| Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, and platform. All these settings should be defined, implemented, and maintained as many are not shipped with secure defaults. This includes keeping all software up to date, including all code libraries used by the application. | |
| Many web applications do not properly protect sensitive data, such as credit cards, SSNs, and authentication credentials, with appropriate encryption or hashing. Attackers may steal or modify such weakly protected data to conduct identity theft, credit card fraud, or other crimes. | |
| Many web applications check URL access rights before rendering protected links and buttons. However, applications need to perform similar access control checks each time these pages are accessed, or attackers will be able to forge URLs to access these hidden pages anyway. | |
| Applications frequently fail to authenticate, encrypt, and protect the confidentiality and integrity of sensitive network traffic. When they do, they sometimes support weak algorithms, use expired or invalid certificates, or do not use them correctly. | |
| Web applications frequently redirect and forward users to other pages and websites, and use untrusted data to determine the destination pages. Without proper validation, attackers can redirect victims to phishing or malware sites, or use forwards to access unauthorized pages. |
The Internet allows sensitive data to be accessed directly using electronic means. Despite priority being given to addressing security during development, Web applications remain vulnerable to attacks at every layer. These days Internet attackers are motivated by commercial and criminal intent. The complex attack scenarios and increasing number of vulnerabilities result in loss of control and extremely high levels of risk. Systems under attack can reveal valuable data, which can be used to manipulate transactions and distribute viruses and Trojans (malware).
Possible consequences of an attack include identity theft, access to confidential data, falsified transactions, poor availability and serious damage to an organisation’s reputation. The challenge facing companies today is getting a handle on the necessary security measures within an acceptable expenditure of time, effort and money.
Most common types of attack
- Injections;
- Cross-site scripting (XSS);
- Session takeover;
- Cross-site request forgery (XSRF);
- Forceful browsing;
- Cookie tampering;
- Path traversal.
Scrum est une méthode agile dédiée à la gestion de projets.
Scrum est issu des méthodes incrémentales (telles que le modèle en spirale) qui permettent de maîtriser une production planifiée. Scrum n'autorise pas l'aspect "adaptatif " car il ne propose pas de pratiques permettant de mesurer les modifications importantes et leurs incidences sur le planning de réalisation. La version 2011 du guide de Scrum permet par contre l'affinement (itératif) des exigences en cours de développement.
La méthode Scrum ne couvre aucune technique d'ingénierie du logiciel. Pour l'utiliser afin de développer une application, il est nécessaire de la compléter avec des pratiques de qualité du logiciel. Par exemple, on pourra utiliser des pratiques issues de l'Extreme Programming, de la phase de Construction structurée de la méthode RAD, ou un ensemble de pratiques de qualité du logiciel.
La méthode s'appuie sur le découpage d'un projet en incréments, nommés "sprint", ainsi que l'auto-organisation de l'équipe de développement. Les sprints peuvent durer entre quelques heures et un mois (avec une préférence pour deux semaines). Chaque sprint commence par une estimation suivie d'une planification opérationnelle. Le sprint se termine par une démonstration de ce qui a été achevé, et contribue à augmenter la valeur d'affaires du produit. Avant de démarrer un nouveau sprint, l'équipe réalise une rétrospective : elle analyse ce qui s'est passé durant ce sprint, afin de s'améliorer pour le prochain.
La métaphore de Scrum (mêlée du rugby) apparaît pour la première fois dans une publication de Hirotaka Takeuchi et Ikujiro Nonakaintitulée The New New Product Development Game1 qui s'appliquait à l'époque au monde industriel.
En 1986, Hirotaka Takeuchi et Ikujiro Nonaka décrivent une nouvelle approche holistique qui augmenterait la vitesse et la flexibilité dans le développement de nouveaux produits2. Dans celle-ci les phases se chevauchent fortement et l'ensemble du processus est réalisé par une équipe aux compétences croisées à travers différentes phases. Ils ont comparé cette nouvelle approche au rugby à XV, où l'équipe essaye d'avancer unie, en faisant circuler la balle (« tries to go to the distance as a unit, passing the ball back and forth »).
En 1991, DeGrace et Stahl, dans "Wicked problems, righteous solutions"3, font référence à cette approche sous l'appellation « Scrum » (mêlée, en anglais), un terme de rugby mentionné dans l'article de Takeuchi et Nonaka.
En 1995, Ken Schwaber présente une communication décrivant les fondements de ce qui deviendra la méthode Scrum à l'OOPSLA, à Austin, aux États-Unis.
Schwaber et Sutherland auraient collaboré au cours des années suivantes pour fusionner les publications, leurs expériences et les meilleures pratiques du secteur en ce qui est maintenant connu comme Scrum.
En 2001, Ken Schwaber fait équipe avec Mike Beedle pour décrire la méthode dans le livre « Agile Software Development With Scrum ».
Aucun commentaire:
Enregistrer un commentaire