Je travaille actuellement à distance sur de nombreux projets développés en .Net couplés à la technologie SQL Server comme moteur de Base de données. La problématique que j’ai rencontrée a été de pouvoir me connecter aux différentes ressources nécessaires au bon fonctionnement d’une application .NET (SQL Server, Reporting Services etc …) mais aussi au processus livraison sur un serveur distant (Prise en main à distance d’un Windows Server)

Pour répondre à cette problématique j’ai utilisé le tunneling SSH pour pouvoir me connecter à ces différentes ressources à distance. Dans un premier temps nous verrons comment créer un tunnel SSH à l’aide du logiciel Putty et de son interface graphique puis avec l’outil Plink utilisé en CLI (Command Line Interface).

Ensuite nous verrons comment nous connecter à ces différentes ressources dans un environnement de développement.

Ce lundi s'est déroulé à Lyon un TechEvening consacré à la sécurité des applications Web. Nous avons testé les différentes techniques et outils utilisés par les utilisateurs malveillants. Deux applications ont été utilisées, l'une en J2EE pour la plupart des techniques (WebGoat 5.3 de la fondation OWASP) et l'autre en ASP.NET MVC 3 pour un focus sur les perfides attaques CSRF.

Au programme:

• Injection: diverses techniques d'injection SQL;
• Cross-Site Scripting (XSS): techniques de phishing et de "session hijacking";
• Violation de gestion d'authentification et de session: technique de "session fixation";
• Références directes non sécurisées: techniques d'"AC Bypass" aux niveaux données et métier;
• Cross-Site Request Forgery (CSRF): technique du "Token Bypass";
• Mauvaise configuration de sécurité: technique de "Malicious File Execution";
• Stockage cryptographique non sécurisé: sensibilisation au "hashing" et "salting";
• Manque de restriction URL: technique du "forced browsing";
• Protection insuffisante de la couche transport: "sniffing", "ARP spoofing" et "ARP poisoning"
• Redirections et renvois non validés: techniques du "HTTP splitting" et du "cache poisoning"

Nous avons utilisé les outils suivants:

• Firefox
• Fiddler
• Firebug
• TamperData
• WireShark

Vous pouvez retrouver ci-après tous les supports:

• L'application WebGoat 5.3;
• L'application CSRFDemo ASP.NET MVC 3;
• Les slides (PPTX ou PDF) de présentation;
• Quelques fichiers utilisés pour les attaques;

Pour ceux qui s’intéressent plus globalement à la sécurité des applications .NET (pas qu'en Web), je vous invite à lire l'article suivant sur l'altération des assemblages, l'injection de code et la suppression des signatures cryptographiques. Une vidéo est également disponible.

Cf. l'article sur Engadget.

Cette nouvelle est de taille, car le langage C# est désormais adopté sur de nombreuses plateformes:

• Windows Phone 7 en natif avec le support du SilverLight
• Android avec l'aide de Mono For Android (de Xamarin, ex Monodroid de Novell)
• IPhone avec l'aide de MonoTouch (de Xamarin)
• XBox360 avec le framework XNA
• Playstation avec Playstation Suite SDK
• MacOSX, Linux, Unix avec Mono
• Windows avec le Framework .NET

Ce SDK Sony adresse tous les périphériques certifiés comme la PS Vita, le Xperia Play, les tablettes P et S.