Code d

le 29/12/2008 à 23:21
Code d
Douglas Brown par l'intermédiaire du blog Brown PHP, explique comment réalisé du code défensif en PHP.

Ces trois points de bases sont souvent oubliés ou mal employés.

Mais pour Douglas, les points principaux pour réalisés du code défensif sont :
- Les attaques XSS (Cross Site Scripting)
- Les variables globales
- Le code SQL

- Three Important Tips to Write PHP Code Defensively

A lire également

Note de l'auteur :

Pour devenir un meilleur développeur PHP (et probablement un meilleur développeur dans d'autres langages), Akash Mehta et Bryan vous propose 10 conseils d'experts : apprendre un autre langage, lire le manuel, apprendre PHP à quelqu'un d'autre ou simplement lire le code d'un autre.

Un des conseils que j'ajoute est de réaliser des audits croisés : mettez-vous en pair avec un autre développeur, un ami ou un collègue (ou les deux), et une fois que vous aurez fini d'écrire du code, au moment de refermer le fichier, faite le relire par votre binôme. Cette approche est généralement sans remords ni scrupule, et produit généralement une amélioration très net de la qualité sans beaucoup d'efforts.

- 5 (More) Ways to be a Better PHP Developer
- 5 Ways to be a Better PHP Developer
Alors que Microsoft est sur le point de mettre à disposition en version finale son outil Microsoft Security Essentials, un groupe de hackers a publié un code source permettant d'effectuer une attaque en exploitant une faille critique de Windows. Plus précisément cette dernière se trouve au sein de SMB 2 (Server Message Block), un protocole permettant le partage de fichiers et de périphériques au sein d'un réseau.

La faille en question aurait été découverte le 7 septembre dernier. Il y a deux semaines, l'éditeur Immunity a développé un code d'attaque exploitant ce bug et l'a mis à disposition en téléchargement auprès de sa clientèle. Stephen Fewer, chercheur au laboratoire de sécurité Harmony, a montré que cette faille pouvait être utilisée pour exécuter un logiciel non autorisé sur la machine de la victime. Le code écrit par M. Fewer fut rendu public dans la librairie open source de Metasploit hier.

Selon le développeur HD Moore du groupe Metasploit cette faille toucherait les ordinateurs sous Windows Vista SP1 et SP2 ainsi que Windows Serveur 2008 SP1 (et probablement SP2). Kostya Kortchinsky, chercheur chez Immunity ajoute cependant un bémol et précise qu'un correctif a été mis à disposition pour Windows 7 et qu'au travers de ses propres test seuls les systèmes virtualisés via VMWare présenterait un danger. Exécuté en natif, le code ferait tout de même planter la machine.

Le 18 septembre dernier Microsoft a mis à disposition un outil permettant de désactiver SMB 2 et précisait être en train de travailler sur un correctif.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours