Ah, un autre point important pour les applications qui ne sont pas sur du cloud (sorry pour le double post).
Sécuriser au maximum son application principale, c'est bien, mais ce n'est pas de là qu'arrive en général les problèmes. La plupart du temps, l'attaquant s'introduit par une application de seconde zone qui tourne sur ton serveur (webmail, CI, frontend d'administration, etc). Pour cette raison, il est important de ne pas avoir d'application de "seconde zone". Si c'est accessible par internet, alors tu dois le considérer comme aussi important que ton application principale. Une bonne pratique pour limiter la casse consiste à avoir un utilisateur unix par application et de s'assurer qu'un utilisateur ne puisse pas avoir accès à la home des autres utilisateurs (`chmod o-x ~`). Cela évite que quelqu'un qui rentre par ton webmail outdated puisse récupérer les infos de connexion à la db de ton app principale. On Thursday, February 12, 2015 at 3:28:38 AM UTC+1, Florian Dutey wrote: > > Bonjour a tous, > > Une question m'est venue a l'esprit aujourd'hui. > Je fais une migration de rails 3 vers rails 4 et je cleane donc tous les > initializers / config files. > Un de mes initializers desactive le parsing du XML dans les controllers > (fix pour CVE-2013-0156) et je n'ai aucune idee si cela a ete fixe dans > rails 4. Aucune doc n'en parle, je suppose que oui mais je ne peux pas me > permettre de ne pas etre sur. > > J'ai trouve un article qui parle de tester ce bug avec le fw metasploit ( > http://blog.endpoint.com/2013/01/rails-CVE-2013-0156-metasploit.html) et > cela a entraine la fameuse question. > > Comment tester de maniere automatique la securite d'une application? > J'ai trouve quelques outils qui analysent le code de maniere statique mais > ce n'est pas suffisant. > > Je me demandais si il n'existait pas un integration metasploit <=> rspec | > travis specifique pour rails, qui essaierait par exemple de defoncer mon > appli avec tous les exploits connus integre dans le framework. > > Ou autre chose... Mais dans l'idee, un truc qui va vraiment taper sur un > serveur (de test) comme un acharne pour reveler d'eventuelles failles de > secu. > > Merci de vos retours :) > -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse railsfrance@googlegroups.com Pour résilier votre abonnement envoyez un e-mail à l'adresse railsfrance-unsubscr...@googlegroups.com --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse railsfrance+unsubscr...@googlegroups.com. Pour plus d'options, visitez le site https://groups.google.com/d/optout .
