Jour : 7 octobre 2025

Top 10 Web Application Security Risks

Publié le par sdgadmin

There are three new categories, four categories with naming and scoping changes, and some consolidation in the Top 10 for 2021.

Mapping
  • A01:2021-Broken Access Control moves up from the fifth position; 94% of applications were tested for some form of broken access control. The 34 Common Weakness Enumerations (CWEs) mapped to Broken Access Control had more occurrences in applications than any other category.
  • A02:2021-Cryptographic Failures shifts up one position to #2, previously known as Sensitive Data Exposure, which was broad symptom rather than a root cause. The renewed focus here is on failures related to cryptography which often leads to sensitive data exposure or system compromise.
  • A03:2021-Injection slides down to the third position. 94% of the applications were tested for some form of injection, and the 33 CWEs mapped into this category have the second most occurrences in applications. Cross-site Scripting is now part of this category in this edition.
  • A04:2021-Insecure Design is a new category for 2021, with a focus on risks related to design flaws. If we genuinely want to “move left” as an industry, it calls for more use of threat modeling, secure design patterns and principles, and reference architectures.
  • A05:2021-Security Misconfiguration moves up from #6 in the previous edition; 90% of applications were tested for some form of misconfiguration. With more shifts into highly configurable software, it’s not surprising to see this category move up. The former category for XML External Entities (XXE) is now part of this category.
  • A06:2021-Vulnerable and Outdated Components was previously titled Using Components with Known Vulnerabilities and is #2 in the Top 10 community survey, but also had enough data to make the Top 10 via data analysis. This category moves up from #9 in 2017 and is a known issue that we struggle to test and assess risk. It is the only category not to have any Common Vulnerability and Exposures (CVEs) mapped to the included CWEs, so a default exploit and impact weights of 5.0 are factored into their scores.
  • A07:2021-Identification and Authentication Failures was previously Broken Authentication and is sliding down from the second position, and now includes CWEs that are more related to identification failures. This category is still an integral part of the Top 10, but the increased availability of standardized frameworks seems to be helping.
  • A08:2021-Software and Data Integrity Failures is a new category for 2021, focusing on making assumptions related to software updates, critical data, and CI/CD pipelines without verifying integrity. One of the highest weighted impacts from Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) data mapped to the 10 CWEs in this category. Insecure Deserialization from 2017 is now a part of this larger category.
  • A09:2021-Security Logging and Monitoring Failures was previously Insufficient Logging & Monitoring and is added from the industry survey (#3), moving up from #10 previously. This category is expanded to include more types of failures, is challenging to test for, and isn’t well represented in the CVE/CVSS data. However, failures in this category can directly impact visibility, incident alerting, and forensics.
  • A10:2021-Server-Side Request Forgery is added from the Top 10 community survey (#1). The data shows a relatively low incidence rate with above average testing coverage, along with above-average ratings for Exploit and Impact potential. This category represents the scenario where the security community members are telling us this is important, even though it’s not illustrated in the data at this time.

Save

Publié le par sdgadmin

Le projet Save Videos est une application web inspiré des plugins yt-dlp et X_Media_download pour permettre aux utilisateurs de sauvegarder, organiser et visualiser des vidéos provenant de plateformes comme YouTube et X (anciennement Twitter). Conçue avec un accent sur la simplicité d’utilisation et la sécurité, cette plateforme répond aux besoins des individus souhaitant archiver du contenu multimédia de manière fiable et privée.
L’application intègre des fonctionnalités avancées tout en respectant les principes de confidentialité et de protection des données. Ce résumé présente les fonctionnalités principales, les mesures de sécurité implémentées, ainsi que les perspectives d’évolution futures.

Fonctionnalités Actuelles

L’application offre un ensemble de fonctionnalités essentielles pour une gestion efficace des vidéos :

  • Inscription et Connexion Sécurisées : Les utilisateurs peuvent créer un compte avec un nom d’utilisateur, un email et un mot de passe haché. Une vérification par code de confirmation envoyé par email est requise pour activer le compte, garantissant l’authenticité des adresses fournies.
  • Ajout et Édition de Vidéos : Possibilité d’ajouter des vidéos via URL (YouTube ou X) ou téléversement local (formats MP4, AVI, MKV). Les catégories multiples (séparées par virgules), commentaires et miniatures sont supportés. Une option permet de copier localement les vidéos pour éviter la censure.
  • Visualisation et Gestion : Une page dédiée affiche les vidéos en mode inline (iframe pour YouTube, tag video pour locales). Les utilisateurs peuvent éditer, supprimer ou rendre publiques leurs vidéos. Un système de catégories facilite la navigation.
  • Téléchargement Sécurisé : Les vidéos locales sont servies via un script dédié qui vérifie les permissions, empêchant les accès non autorisés.
  • Support Multimédia : Intégration de miniatures automatiques pour YouTube/X, et analyse antivirus (ClamAV) pour les uploads.
  • Vidéo publique , apparaît sur la home page , vidéo privé n’apparaît que sur la page de son utilisateur
  • Importation par playlist youtube
  • Importation de toutes les vidéos publiques d’un user youtube

Ces fonctionnalités sont accessibles via une interface responsive, stylisée avec Tailwind CSS, assurant une expérience utilisateur fluide sur tous les appareils.

Mesures de Sécurité Mises en Place

La sécurité est au cœur du projet, avec des implémentations robustes pour protéger les données et prévenir les attaques courantes :

  • Protection contre les Attaques CSRF : Tous les formulaires (inscription, connexion, ajout/édition de vidéos) incluent un jeton CSRF généré dynamiquement et validé côté serveur.
  • CAPTCHA Open Source : Utilisation de Securimage pour empêcher les inscriptions et connexions automatisées par bots, sans dépendance à des services externes comme Google.
  • Vérification par Email : Les nouveaux comptes nécessitent une confirmation via un code à 6 chiffres envoyé par email, avec expiration après une heure.
  • Contrôle d’Accès aux Fichiers : Les vidéos uploadées ne sont plus accessibles directement ; un script PHP vérifie l’authentification et les permissions avant de servir le contenu.
  • Analyse Antivirus : Tous les fichiers téléversés sont scannés avec ClamAV avant stockage.
  • Hachage des Mots de Passe : Utilisation de `password_hash` pour stocker les mots de passe de manière sécurisée.
  • Validation des Entrées : Filtrage strict des URLs, emails et fichiers pour prévenir les injections et les uploads malveillants.

Ces mesures alignent l’application sur les standards OWASP, réduisant significativement les risques d’exploitation.

Fonctionnalités Futures Envisagées

Pour étendre les capacités de l’application et renforcer sa robustesse, plusieurs améliorations sont prévues :

  • Améliorations Cryptographiques : Stockage des secrets (comme les mots de passe de base de données) via variables d’environnement, et enforcement de HTTPS pour les sessions.
  • Rate Limiting : Limitation des tentatives de connexion/inscription pour contrer les attaques par force brute.
  • Gestion Avancée des Uploads : Vérification du type MIME réel et quotas de stockage par utilisateur.
  • Fonctionnalités Utilisateur : Recherche avancée des vidéos, partage sécurisé, et intégration de notifications par email pour les mises à jour.
  • Mises à Jour Automatisées : Système de monitoring des dépendances pour détecter et patcher les vulnérabilités.
  • Headers de Sécurité HTTP : Ajout de CSP, HSTS et X-Frame-Options pour prévenir les attaques comme le clickjacking.
  • Amélioration du design
  • Ajout d’autres plateformes
  • Extension pour firefox : qui permettra de capturer l’URL d’une vidéo sur YouTube ou X et de l’envoyer directement à ce serveur

Ces évolutions viseront à maintenir l’application à jour face aux menaces émergentes, tout en améliorant l’expérience utilisateur.

Conclusion

Le projet Save Videos représente une solution pratique et sécurisée pour l’archivage de vidéos, avec un focus sur la confidentialité et la facilité d’utilisation. Grâce aux fonctionnalités actuelles et aux mesures de sécurité robustes, il offre une base solide pour les utilisateurs. Les développements futurs renforceront encore sa résilience, en faisant un outil indispensable pour la gestion multimédia.

Visit Save.sdg.ynh.fr

    1. stefan sur Lenovo

      https://bbs.archlinux.org/viewtopic.php?id=310168 https://github.com/CachyOS/distribution/issues/245 https://www.reddit.com/r/NixOS/comments/1ogr99v/wireplumber_and_audio_interface_input_issues/

    2. stefan sur Arnold

      https://www.cpc-power.com/gamebasecpc/index.php?page=full

    3. pour les petites playlist youtube , l'import des meta données telle que , titre , durée , description , résolution…

    4. import playlist youtube : ok , il importe d'abord les miniatures et les liens des vidéos , les méta donnéescomme…

    5. not work with mixxx ~ ❯ mixxx Using preferences ScaleFactor 1 Selected Qt style: "breeze" Loading resources from "/usr/share/mixxx/" Configuration…

  • octobre 2025
    L M M J V S D
     12345
    6789101112
    13141516171819
    20212223242526
    2728293031  
    • Thème : Superposition par Kaira. CopyLerft 2025