[Newsletter HSC] N°118 - Juin 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 3 Juin 14:26:46 CEST 2014


========================================================================
              HSC Newsletter  --  N°118 --  juin 2014
========================================================================





     « Plus faibles sont les risques, meilleure est l'entreprise. »


                                        [ Sophocle ]






--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. HSC sponsor des 8e Rencontres de l'ARCSI à Toulouse le 13 juin
      4. HSC sponsor de la matinée CNIS-Mag à Paris le 1er juillet
      5. Offres d'emploi pour consultants
      6. Agenda des interventions publiques
      7. Prochaines formations HSC
      8. Actualité des associations : Club 27001, OSSIR et Clusif
      9. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer & Christophe Renard ]------------------

     C'est dans un contexte chargé que la fin de vie du logiciel TrueCrypt
 a été annoncée la semaine dernière[1]. Sur le site web du logiciel,
 des tutoriels sur l'utilisation des fonctions de chiffrement natives des
 systèmes d'exploitation ont remplacé les pages habituelles.
 La raison invoquée pour ce virage à 180 degrés est que Microsoft ayant mis
 fin au support de Windows XP, dépourvu de fonction de chiffrement de disque
 native, la raison d'être de TrueCrypt disparaît.

 Peu de choses se savent sur les développeurs de TrueCrypt. L'équipe est
 réputée réduite, a choisi de garder l'anonymat et a enregistré le nom de
 domaine et la marque via un citoyen tchèque au profit d'une association basée
 aux États-Unis [2][3]. Le développement et même le système de compilation de
 TrueCrypt sont teintés d'obscurité [4].

 Évidemment, les révélations d'Edward Snowden sur le piégeage systématique des
 fonctions cryptographiques par la NSA ont changé l'atmosphère. Il y a deux
 ans, les rumeurs de contraintes sur les développeurs, l'idée même que le
 projet TrueCrypt puisse être un cheval de Troie d'une agence de renseignement,
 n'auraient sans doute pas quitté la sphère des cypherpunks. Avant Snowden,
 les théories de ras-le-bol et de dissension au sein de l'équipe de
 développement auraient sans doute dominé.  Aujourd'hui la twitosphère crépite
 d'hypothèses conspirationnistes et des acteurs tout à fait sérieux s'en
 font le relais [5].

 Les rumeurs sont aussi soutenues par l'absurdité de la position affichée par
 les développeurs de TrueCrypt. Ce logiciel occupe une place très spécifique
 dans l'écosystème des logiciels de chiffrement. Parce qu'il est réellement
 multi-plateforme fonctionnant sous MS-Windows, Mac OSX, ou Linux de façon
 fluide et du fait de son IHM bien intégrée, il est le seul logiciel de
 chiffrement vraiment populaire. Enfin, Bitlocker est réservé aux versions
 haut de gamme de Windows, restant inaccessible au tout venant [6].

 Pour ces raisons, l'initiative OpenCryptoAudit [7] a été lancée l'année
 dernière à l'initiative d'un certain nombre de spécialistes, et financée par
 un appel au public. La première partie, l'audit du code de démarrage de
 TrueCrypt s'est déroulée sans remonter d'anomalie. La seconde commence, comme
 prévu, ce mois-ci et porte sur l'implémentation de la cryptographie dans le
 logiciel.  Le monde anglo-saxon l'ignore largement, mais comme le rappelait
 hier l'ANSSI[8], TrueCrypt a fait l'objet de 2 audits CSPN en France, l'un
 mené par Sogeti sur la version 6.1a, l'autre par Amossys sur la version 7.1a,
 et aucun des deux audits n'a trouvé d'anomalie dans le code.

 Pour résumer, TrueCrypt est le seul corpus logiciel ouvert, audité plusieurs
 fois, écrit dans un code relativement lisible, qui résout le problème délicat
 de combiner portabilité, un bon niveau de sécurisation, un impact de
 performance mineur et une interface utilisateur accessible.

 L'argumentation contre TrueCrypt et le chiffrement de volume, font fi du
 fait que la généralisation du stockage sur mémoire flash rend l'effacement de
 données incertain, que les écritures de mémoire vive sur disque sont
 difficilement contrôlables (fichier d'échange, vidange sur crash...)
 inscrivant  sur stockage persistant les données sensibles, et que les
 terminaux de l'informatique "dans les nuages", sont de plus en plus mobiles,
 donc perdus et volés (sans parler des vols de serveurs dans des datacenters).

 Il existe des alternatives, à source fermée ou ouverte, de périmètre
 fonctionnel variable et nul doute que certaines trouveront une opportunité
 dans l'actuelle crise [9][10][11][12][13]. L'idée d'un "fork" [14] du
 logiciel, permettant d'en conserver l'héritage est évoquée mais la licence
 [15] du logiciel rend cette voie incertaine.

 L'ANSSI propose, fort logiquement, de migrer vers les solutions qui ont été
 certifiées par l'agence, qui malheureusement sont toutes du logiciel fermé
 [16][17][18][19][20].

 La valeur de TrueCrypt reste forte, et si le logiciel venait à mourir, la
 place est ouverte pour une alternative libre, multi-plateforme, et peut-être
 même incluant une gestion de clé aussi élégante que ce que Microsoft a su
 intégrer dans Bitlocker.

 Cette crise est aussi l'occasion de se poser la question de qui est inclus
 dans notre base de confiance. De façon générale, l'hypothèse devenue commune
 est que tout produit cryptographique est potentiellement piégé et que seul
 l'audit permet de s'assurer du contraire. Il y a lieu de se féliciter qu'une
 saine défiance soit devenue populaire et que les usagers demandent plus des
 producteurs de logiciel.

 À ce jour, en l'absence d'éléments déterminants sur les circonstances réelles
 de ces annonces, il est précoce de prendre des décisions radicales.
 Si vous utilisez TrueCrypt et que l'espionnage étatique n'est pas dans votre
 modèle de menace, attendez. Si vous vous prépariez à déployer TrueCrypt
 attendez. Si vous utilisez TrueCrypt pour vous protéger du regard d'une
 nation, il va sans doute falloir trouver une autre solution (GELI20[21] et
 dm-crypt/LUKS[22] viennent à l'esprit).



 [ 1] Résumé : http://lwn.net/SubscriberLink/600658/063dbe8e3b2df6ae/
 [ 2] Marque : http://tm.kurzy.cz/truecrypt-developers-association-lc/truecrypt-p439088z290125u.htm
 [ 3] Domaine : http://pir.org/domains/org-domain/?domain=truecrypt.org&submitted=results#domain_form
 [ 4] Compiler TrueCrypt : https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
 [ 5] https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html
 [ 6] Compatibilité Bitlocker : http://technet.microsoft.com/en-us/library/ee449438%28v=ws.10%29.aspx#BKMK_HSRequirements
 [ 7] OpenCrypto Audit : http://opencryptoaudit.org/  et  http://istruecryptauditedyet.com/
 [ 8] Annonce ANSSI : http://www.ssi.gouv.fr/fr/menu/actualites/possible-abandon-de-truecrypt-par-ses-developpeurs.html
 [ 9] axCrypt http://www.axantum.com/axCrypt/
 [10] DiskCryptor https://diskcryptor.net/wiki/Main_Page
 [11] BoxCRyptor https://www.boxcryptor.com
 [12] TCPlay https://github.com/bwalex/tc-play
 [13] RealCrypt : http://rpmfusion.org/Package/realcrypt
 [14] Fork Suisse : http://www.infosecurity-magazine.com/view/38654/truecrypt-lives-on-as-new-team-relocates-to-switzerland/
 [14] Licence : https://github.com/warewolf/truecrypt/compare/master...7.2#diff-dc5cde275269b574b34b1204b9221cb2L1
 [15] CryHod : http://www.primx.eu/en/cryhod.aspx
 [16] Zed ! : http://www.primx.eu/zed.aspx
 [17] Zone Central : http://www.primx.eu/en/zonecentral.aspx
 [18] Security Box : http://www.arkoon-netasq.com/category/securitybox/
 [19] Stormshield : http://www.arkoon-netasq.com/stormshield/
 [20] GELI :http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html
 [21] dm-crypt / LUKS : https://code.google.com/p/cryptsetup/wiki/DMCrypt



--[ 2. Le saviez-vous ? La question ]-----------------------------------

      Il arrive parfois de rencontrer des sites qui ont un mode de 'debug' s'ils
 sont accédés depuis localhost ou depuis 127.0.0.1. En PHP, une séquence
 similaire au code suivant peut parfois être rencontrée (bien que le === soit
 trop peu utilisé) :
     if ($_SERVER['HTTP_HOST'] === "127.0.0.1") {
        give_admin();
        show_trace();
        autre();
     }

 Si le serveur Apache n'est configuré qu'avec un VirtualHost par défaut, il
 suffit alors à un attaquant de modifier son en-tête HTTP "Host" par
 "127.0.0.1" pour obtenir les droits d'administration.

 Une méthode naïve pour corriger le problème est alors de créer un nouveau
 VirtualHost dans Apache pour empêcher l'utilisation de l'en-tête "Host" :

    <VirtualHost remoteaddr:80
      ServerName example.com
      DocumentRoot /var/www/example/
      [...]
    </VirtualHost>

    <VirtualHost remoteaddr:80>
      ServerName 127.0.0.1
      Redirect 301 / http://example.com/
    </VirtualHost>

    <VirtualHost 127.0.0.1:80>
      ServerName 127.0.0.1
      DocumentRoot /var/www/example/
      [...]
    </VirtualHost>

 Dans ce cas, la modification de l'en-tête HTTP Host ne suffit plus, car on
 serait redirigé vers le nom usuel du site.


    Savez-vous comment contourner cette protection naïve pour malgré tout
 accéder au site dans le mode de 'debug' ?



--[ 3. HSC sponsor des 8e Rencontres de l'ARCSI à Toulouse le 13 juin ]--

     HSC est sponsor des 8e rencontres de l'ARCSI (Association des Réservistes
 du Chiffre et de la Sécurité de l'Information) qui se déroulent cette
 année à Toulouse vendredi 13 juin 2014. Venez rencontrer Hervé Schauer
 (membre ARCSI) sur notre stand lors de la journée du 13 juin, à l'amphi
 Toulouse-Garonne "Le Belvédère", 11 boulevard des Récollets à Toulouse :
 http://www.latabledubelvedere.com/www/infos.php

     "La confiance dans les technologies de l'information et de la
 communication peut-elle revenir ?"

  8h15 : Accueil des participants
  9h00 : Allocution d'ouverture
         Jean-Louis Desvignes, Thales, président de l'ARCSI
  9h10 : Le monde après Snowden - Démocratie et Surveillance
         Frédérick Douzet, Chaire Castex
  9h40 : Big Data, les trois paradoxes de la sécurité
         Philippe Wolf, ANSSI
 10h15 : Originalité des armes électromagnétiques IMFP (Impulsions Magnétiques
         Fortes Puissance)
         Jacques David, laboratoire plasma & conversion d'énergie INPT-ENSEEIHT
 10h30 : Pause
 11h00 : Cybercriminalité et poursuites judiciaires
         Fabrice Crasnier, Gendarmerie, Commandant de la division Analyse
         Criminelle et Investigation Spécialisées de la Section Appui
         Judiciaire Midi-Pyrénées
 11h40 : Management et protection de l'information stratégique & influence
         Christian Szypura, chargé de mission régional à l'Intelligence
         Economique, DIRECCTE
 12h15 : Déjeuner au restaurant panoramique "La Table du Belvédère"
 14h00 : La faille OpenSSL 'Heartbleed' est-elle bien comprise par tous ?
         Jean-François Audenard, Orange Business Services
 14h40 : Sécurité Economique
         Maurice Griponne, D2RI
 15h15 : pause
 15h45 : Identification électronique d'une personne morale
         Fabrice Mattatia
 16h15 : Panorama des incidents cyberdéfense en Midi-Pyrénées
         Cyrille Guerin, DPSD Toulouse
 16h45 : Exploitations de failles de sécurité : manipulation d'un poste de
         travail avec une clé USB et attaque contre un site WEB

     Participation gratuite. Inscription obligatoire sur http://www.arcsi.fr/
 Déjeuner sur place possible pour 25 euros.



--[ 4. HSC sponsor de la matinée CNIS-Mag le 1er juillet à Paris ]--

    Venez rencontrer HSC lors de la prochaine matinée CNIS-Mag à Paris, Hôtel
 Intercontinental, sur le thème "Entreprise Mobile, Sociale et dans le Cloud :
 comment assurer sa cybersécurité ?". Lynda Benchich et François Martinelli
 pour les formation, et Jean-Jacques Cayet pour les prestations seront à
 votre disposition. Frédéric Connes, consultant en sécurité et juriste
 introduira la matinée. Pour en savoir plus :
http://www.cnis-mag.com/entreprise-mobile-sociale-et-dans-le-cloud-comment-assurer-sa-cybersecurite-2.html

     Participation gratuite. Inscription en ligne obligatoire sur :
 http://www.cnis-mag.com/inscription-cnis-event



--[ 5. Offres d'emploi pour consultants en sécurité ]--------------------

  +-------------------------------------------------------------+
  | HSC recherche des consultants expérimentés 2 à 6 ans d'exp. |
  +-------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. Agenda des interventions publiques ]------------------------------

 - 1 juillet 2014 - Matinée CNIS Mag - Paris Hôtel Intercontinental
   "Entreprise Mobile, Sociale et dans le Cloud : comment assurer sa
   cybersécurité ?", Introduction de la matinée par Frédéric Connes
   http://www.cnis-mag.com/entreprise-mobile-sociale-et-dans-le-cloud-comment-assurer-sa-cybersecurite-2.html

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        EBIOS Risk Manager    ..................    : 11 au 13 juin (#)
        Sécurité SCADA  ........................    : 16 at 17 juin (C)
        Formation DNSSEC   .....................    : 18 et 19 juin (*)
        Correspondant Informatique et Libertés      : 18 au 20 juin (@)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 juin (*)(#)(C)
        Essentiels de l'ISO27001:2013    .......    : 23 juin (C)
        Gestion des incidents de sécurité/ISO27035  : 23 juin
        Mesures de sécurité ISO 27002:2013   ...    : 24 et 25 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 25 juin
        Gestion de crise IT/SSI    .............    : 27 juin
        Essentiels juridiques pour gérer la SSI     : 26 et 27 juin
        ISO 27005 Risk Manager    ..............    : 30 juin au 2 juillet (#)
        ISO 27001 Lead Implementer    ..........    : 30 juin au 4 juillet (#)
        ISO 27005 Risk Manager    ..............    : 8 au 10 septembre (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Inforensique Windows (SANS FOR408/GIAC GCFE): 15 au 19 septembre (*)(#)
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Essentiel de PCI-DSS    ................    : 22 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 septembre (#)
        Correspondant Informatique et Libertés      : 24 au 26 septembre (@)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        ISO 22301 Lead Implementer    ..........    : 29 sept au 3 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 6 octobre
        Formation RSSI    ......................    : 6 au 10 octobre
        Essentiels juridiques pour gérer la SSI     : 13 et 14 octobre
        Formation CISSP    .....................    : 13 au 17 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre (*)(#)
        ISO 27005 Risk Manager    ..............    : 20 au 22 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 20 au 25 octobre (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 23 au 24 octobre
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        RGS : la SSI pour le secteur public    .    : 30 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        EBIOS Risk Manager    ..................    : 12 au 14 novembre (#)
        Sécurité SCADA  ........................    : 13 at 14 novembre
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 novembre (*)(#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 décembre (#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Risk Manager Avancé    .................    : 18 et 19 décembre
        Sécurité du WiFi    ....................    : mars 2015  (*)
        PKI : principes et mise en oeuvre    ...    : mai 2015 (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 1er semestre 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)


 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Formation CISSP    .....................    : 30 juin au 4 juillet (#)
        ISO 27001 Lead Implementer    ..........    : 29 sept au 4 octobre (#)
        ISO 27005 Risk Manager    ..............    : 8 au 10 octobre (#)
        ISO 22301 Lead Implementer    ..........    : 27 au 31 octobre (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : mars 2015 (@)
        ISO 27005 Risk Manager    ..............    : avril 2015 (#)

 - Marseille
        Essentiels juridiques pour gérer la SSI     : 15 au 16 septembre
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Essentiels de l'ISO27001:2013    .......    : 4 novembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : mai 2015 (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        Essentiels de l'ISO27001:2013    .......    : 17 octobre
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 25 septembre
         - "La série des guide ISO 27034" par Sébastien Gioria (Advens)
         - seconde présentation en cours de confirmation
     . Réunion suivante à Paris jeudi 27 novembre
     . Prochaines réunions à Toulouse et Marseille annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 10 juin à l'ENSAM Paris salle P3
         - Porte dérobées : implications du nouveau paradigme de l'industrie
           des composants microélectroniques par Laurent Bloch (Institut
           Français d'Analyse Stratégique) et Ary Kokos (Solucom)
         - Compte rendu du SSTIC
         - Revue d'actualité
     . Prochain AfterWorks OSSIR à Paris à la rentrée
     . Réunion suivante à Paris le mardi 8 juillet
     . Prochaine réunion à Rennes au second semestre trimestre

 o Clusif (http://www.clusif.fr/)
     . Conférence le mercredi 25 juin 2014 "MIPS 2014 : Menaces Informatiques
       et Pratiques de Sécurité" la grande enquête du Clusif
       https://www.clusif.fr/#progconf



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------

     Une requête HTTP usuelle ressemble à la suivante :

      GET /dir/page.php HTTP/1.1
      Host: example.com
      [..]

 Cependant, à la page 36 de la RFC 2616 [1] décrivant HTTP 1.1, se trouve
 l'exemple suivant de requête HTTP :

      An example Request-Line would be:
         GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1

 Il est ainsi possible de fournir au serveur l'URL complète.
 Dans ce cas, Apache choisira comme nom de serveur la valeur fournie dans
 cette URL et ne prendra pas en compte la valeur de l'en-tête "Host". Le code
 PHP lui, dans la variable HTTP_HOST, n'accède qu'à la valeur de cette
 en-tête controlée par l'utilisateur.

 Pour contourner la protection de la question, il est donc possible d'utiliser
 la requête suivante :

      GET http://example.com/dir/page.php HTTP/1.1
      Host: 127.0.0.1

 Apache choisira alors le bon VirtualHost pour notre attaque et le code PHP
 verra la valeur "127.0.0.1" dans la variable HTTP_HOST.

 Une meilleure pratique est d'utiliser la variable SERVER_NAME. Cette
 variable est définie par Apache en fonction de la configuration du
 VirtualHost (directive ServerName) et n'est donc pas contrôlé directement par
 l'utilisateur.


 Un exemple similaire sur les risques liés à tester cette fois ci la variable
 REMOTE_ADDR et aux contourments possibles avec certaines en-têtes est fournie
 par une vulnérabilité qu'a connu le site stackoverflow en 2012 :
 http://blog.ircmaxell.com/2012/11/anatomy-of-attack-how-i-hacked.html


 Pensez donc à faire ce type de tests dans vos tests d'intrusion. Faire ces
 changements sur les requêtes pour voir si les sites ont un comportement
 différent ne prend pas beaucoup de temps et peut offrir de bonnes surprises.

 [1] : http://www.ietf.org/rfc/rfc2616.txt



Plus d'informations sur la liste de diffusion newsletter