Recherche : [OWASP] - Antichesse (o ^ω^ o)

OWASP Cheat Sheet Series - XSS Prevention

Tout est dans le titre. Comment se prémunir des attaques de type XSS.

attaque · owasp · trucs-astuces · xss

Fri Dec 22 11:16:53 2023 · permalien

·

https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html

OWASP Maven dependency check – Using a Database Server

Le plugin OWASP permettant la détection de vulnérabilités connues parmi les dépendances d'un projet Java/Kotlin/Scala/Groovy et c'est super utile !

Sauf qu'en entreprise, il est souvent impossible de récupérer la base de données des CVE du plugin à cause des proxy...

L'astuce consiste donc à installer une BDD des vulnérabilités sur le réseau et de modifier la configuration du plugin Maven de votre projet pour qu'il pointe vers celle-ci plutôt que vers celle en local (ie. H2DB).

La manipulation est la suivante :

    <project>
        <modelVersion>4.0.0</modelVersion>
        <groupId>dummy</groupId>
        <artifactId>dummy</artifactId>
        <version>1.0-SNAPSHOT</version>
        <build>
            <plugins>
                <plugin>
                    <groupId>org.owasp</groupId>
                    <artifactId>dependency-check-maven</artifactId>
                    <version>6.5.3</version>
                    <dependencies>
                        <dependency>
                            <groupId>org.mariadb.jdbc</groupId>
                            <artifactId>mariadb-java-client</artifactId>
                            <version>1.4.6</version>
                        </dependency>
                    </dependencies>
                    <configuration>
                        <databaseDriverName>org.mariadb.jdbc.Driver</databaseDriverName>
                        <connectionString>jdbc:mariadb://my.cvedb.host/cvedb</connectionString>
                        <databaseUser>depscan</databaseUser>
                        <databasePassword>NotReallyMyDbPassword</databasePassword>
                    </configuration>
                    <executions>
                        <execution>
                            <goals>
                                <goal>update-only</goal>
                            </goals>
                        </execution>
                    </executions>
                </plugin>
            </plugins>
        </build>
    </project>

Attention à bien ajouter la dépendance dependency-check-core au runtime du build (pas au runtime de l'appli) si vous êtes à la version 6 ou plus du plugin.

dependency-check-maven · dependency-check-plugin · maven · owasp

Thu Feb 3 15:42:56 2022 · permalien

·

https://jeremylong.github.io/DependencyCheck/data/database.html

ossf/scorecard: Security Scorecards - Security health metrics for Open Source - Shaarli de Riduidel

@Riduidel : pourquoi est-ce une farce ?

Sur des applications Spring Boot (et c'est encore plus vrai sous Rapidoid), les frameworks en dépendances représentent la quasi totalité du code exécuté, donc déterminer au moment du build lesquels sont touchés par des CVE déjà connues et documentées (donc faciles à exploiter) me semble être une aide pertinente au développement.

Que vois-tu que je ne perçois même pas ?