NAXSI, un module de filtrage HTTP pour nginx

Posté par  (site web personnel) . Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
34
14
nov.
2011
Sécurité

Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.

NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !

Journal E2guardian un fork de DansGuardian

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
23
14
nov.
2014

DansGuardian est un logiciel de filtrage de contenu web. Il ne se contente pas d'une simple liste noire mais utilise plusieurs méthodes pour agir, comme par exemple le filtrage de mots clefs, de header HTTP, de type mime, ou plus classiquement par système de listes de domaines/urls (liste blanche, noire, etc), il a été créé et développé principalement par la société Smoothwall.

La dernière version stable 2.10.0.3 est sortit depuis un - très - long moment (2009), mais « récemment » (…)

Revue de presse de l'April pour la semaine 35 de l'année 2016

Posté par  (site web personnel, Mastodon) . Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
22
5
sept.
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Revue de presse de l'April pour la semaine 2 de l'année 2014

Posté par  (site web personnel, Mastodon) . Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
21
13
jan.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Le filtrage à la source

Posté par  . Licence CC By‑SA.
Étiquettes :
16
23
avr.
2018

Pff, les combats, c'est jamais fini. Alors, on rigole tous sûrement un peu des abus des blocages automatiques sur YouTube. Et bien maintenant, c'est au tour des développeurs : https://juliareda.eu/2018/04/free-software-censorship-machines/

Comme j'imagine que vous êtes nombreux dans le coin, vous n'avez plus qu'à choisir votre mode d'expression. Je suppose que vous êtes contre ce changement, mais enfin, vous avez le droit d'être pour. Vous aurez juste du mal à me convaincre.

Parce que le problème de ces filtres est multiple, mais (…)

Le Projet "libre" Artica depasse les 20 millions de sites Internet catégorisés.

Posté par  (site web personnel) . Édité par Benoît Sibaud, baud123 et claudex. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
13
24
mai
2012
Internet

Artica est un projet « libre » permettant d'installer et de configurer facilement des services d'infrastructures comme un serveur de messagerie, serveur de fichiers ou mandataire/proxy Internet.

Dans le monde du filtrage Web, la catégorisation des sites internet est importante car elle permet d'assurer une cohérence avec les règles de filtrage crée par l'administrateur et la navigation des utilisateurs.
À ce jour le projet Artica est le seul projet « libre » à proposer autant de sites Internet catégorisés.

Le taux de catégorisation croît de jour en jour du fait que la catégorisation s'effectue de façon automatique, grâce à la communauté des utilisateurs d'Artica.

Plus Artica est téléchargé et utilisé, et plus le taux de catégorisation s'accélère. En effet, lorsque le proxy détecte un site Internet qui n'est pas catégorisé, il le place dans une section particulière. L'administrateur en charge de maintenir la solution de filtrage est alors en mesure de visualiser les sites « non-catégorisés » et de le placer lui-même dans plus de 150 catégories disponibles. (la suite en seconde partie)

NdM : Le code est sous licence BSD. Nous n'avons pas trouvé les conditions d'utilisation de la base de données du classement, nous savons donc pas si son utilisation est libre.

Forum général.cherche-logiciel Proxy filtrant

Posté par  . Licence CC By‑SA.
Étiquettes :
5
18
sept.
2017

Bonjour,

Je dois installer un proxy filtrant dans une école primaire. J'utilise de puis de nombreuses année le couple Squid/squidguard (depuis 2003), et bien que cela fonctionne, ça me pose aujourd'hui un problème : en effet, Squidguard n'est plus maintenu depuis trop longtemps à mon goût…

J'ai cherché un peu, et je suis rapidement tombé sur DansGuardian (qui à l'air tellement mort que le site ne répond même plus !), et son fork e2guardian.

Y a t'il d'autres logiciels que vous (…)

Journal Pornocriminalité : voici comment on finit par vouloir filtrer

Posté par  . Licence CC By‑SA.
Étiquettes :
4
27
sept.
2023

Je comprends mieux, bien que je ne sois pas convaincu.

Cette nuit j'ai reçu pour la première fois un e-mail qui défendait un filtrage des contenus par une autorité administrative, je partage ici parce que ça permet de comprendre comment on peut en arriver à souhaiter cela. Pour placer le contexte, le Haut Conseil à l'Egalité « a pour mission d’assurer la concertation avec la société civile et d’animer le débat public sur les grandes orientations de la politique des (…)

Forum Linux.général Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S)

Posté par  . Licence CC By‑SA.
Étiquettes :
4
21
juil.
2015

Bonjour forum,

Denis Szalkowski pense qu'on ne peut pas n'autoriser que firefox à sortir sur les ports 80 et 443 .

Après recherche rapide, j'ai l'impression que la meilleure solution serait de combiner une isolation en cgroup (grâce à systemd ?) et un filtrage meta cgroup grâce à nftables. Je n'ai jamais fait cela et n'ai pas le temps aujourd'hui.

Points bonus : Je soupçonne qu'une notification graphique XDG correspondant au rejet d'une connexion sortante avec des informations concernant l'application concernée (…)

Forum Programmation.web Filtrage d'une adresse électronique

Posté par  . Licence CC By‑SA.
Étiquettes :
3
9
déc.
2021

Bonjour,

Avec une expression rationnelle (régulière ?), je cherche à filtrer un tant soit peu des adresses électroniques saisies dans un formulaire. Pour l'instant, je me base sur les RFC 5321 sections 4.1.2 and 4.1.3 + Errata :

email address = local-part@domain ou local-part@address-literal

    local-part = (?:[a-zA-Z0-9!#$%&'*+\-/=?^_\x60{|}~]+(?:\.[a-zA-Z0-9!#$%&'*+\-/=?^_\x60{|}~]+)*)|(?:"[\x20-\x21\x23-\x5B\x5D-\x7E]*")|(?:"(?:\\[\x20-\x7E])*")

    domain = (?:[A-Za-z0-9](?:[A-Za-z0-9\-]*[A-Za-z0-9])?(?:\.[A-Za-z0-9](?:[A-Za-z0-9\-]*[A-Za-z0-9])?)*(?:\.)?)

Pour address-literal, ça devient folklorique, j'ai laissé tomber après avoir tenté un truc pourri du style :

    (?:\[([0-9]|([1-9][0-9])|(1[0-9][0-9])|(2[0-5][0-5]))(?:\.([0-9]|([1-9][0-9])|(1[0-9][0-9])|(2[0-5][0-5]))){3}\])|(?:\[IPv6:[0-9A-F]{1,4}(?::[0-9A-F]{1,4}){7}\])|(?:\[IPv6:(?:[0-9A-F]{1,4}(?::[0-9A-F]{1,4}){0,5})?::(?:[0-9A-F]{1,4}(?::[0-9A-F]{1,4}){0,5})?\])|(?:\[IPv6:[0-9A-F]{1,4}(?::[0-9A-F]{1,4}){5}:([0-9]|([1-9][0-9])|(1[0-9][0-9])|(2[0-5][0-5]))(?:\.([0-9]|([1-9][0-9])|(1[0-9][0-9])|(2[0-5][0-5]))){3}\])|(?:\[IPv6:(?:[0-9A-F]{1,4}(?::[0-9A-F]{1,4}){0,3})?::(?:[0-9A-F]{1,4}(?::[0-9A-F]{1,4}){0,3}:)?([0-9]|([1-9][0-9])|(1[0-9][0-9])|(2[0-5][0-5]))(?:\.([0-9]|([1-9][0-9])|(1[0-9][0-9])|(2[0-5][0-5]))){3}\])|(?:\[[A-Za-z0-9\-]*[A-Za-z0-9]:[\x21-\x5A\x5E-\x7E]+\])

Donc si je me cantonne à local-part@domain, ça donne :

    /^((?:[a-zA-Z0-9!#$%&'*+\-/=?^_\x60{|}~]+(?:\.[a-zA-Z0-9!#$%&'*+\-/=?^_\x60{|}~]+)*)|(?:"[\x20-\x21\x23-\x5B\x5D-\x7E]*")|(?:"(?:\\[\x20-\x7E])*"))@(?:[A-Za-z0-9](?:[A-Za-z0-9\-]*[A-Za-z0-9])?(?:\.[A-Za-z0-9](?:[A-Za-z0-9\-]*[A-Za-z0-9])?)*(?:\.)?)$/

Je (…)

Forum général.cherche-logiciel Un Vacation plus fino ?

Posté par  .
Étiquettes :
2
16
mar.
2012

Salut,

Je débarque, c'est mon premier post ici et j'ai besoin d'une info, si vous avez ca en stock.

Je recherche un logiciel qui pourrait envoyer des messages d'absence (là je vous vois venir, vacation ! :) ) Sauf que j'aimerais filtrer l'envoi ou non de la notification d'absence en fonction du destinataire. Un filtrage au niveau du nom de domaine de l'adresse serait super !

Par exemple :

chez moi j'ai une adresse on_est_bien@chezmoi.fr que je configure avec un message d'absence (…)

Journal Projet PornFind sur Savannah.

Posté par  .
Étiquettes :
0
25
juil.
2003
J'ai développé pour mon travail (admin réseau dans un rectorat) un programme perméttant de parser des fichiers de log du Proxy squid et de trouver là dedans tout ce qui peut s'apparenter à un site porno. L'idée est ensuite de nourrir des blacks listes de sites interdits quotidiennement par analyse des sites de la veilles.
J'ai déposé mon projet en GPL sur savannah: http://savannah.nongnu.org/projects/pornfind/.(...)

Ça fonctionne avec un filtre bayesian (bogofilter) qui estime à partir du contenu d'un fichier HTML (…)