Autres

• Liens utiles
• Flutter - Google FCM - Firebase Cloud Messaging
• PDFShrinker - Compresser les PDF en masse
• Hedis - Scan sécurité Avril 2025

Liens utiles

Faire des requêtes SQL sur un fichier CSV: [mots clés: csv sql live online]
https://csvfiddle.io/

Liste des villes de France officielle au format CSV / JSON via data.gouv.fr: [mots clés: json france ville]
https://www.data.gouv.fr/fr/datasets/villes-de-france/

Syntax Highlighter sans Javascript et fonctionne direct avec des textarea (uniquement une police à importer et 10ligne de css !) :

https://blog.glyphdrawing.club/font-with-built-in-syntax-highlighting/

Generateur de Qr Code:

https://forqrcode.com

Generateur de miniature de PDF :

https://imageconvert.org/pdf-to-thumbnail

SVG to Canvas:

https://canvg.js.org/demo/

Base 64 to png:

https://onlinepngtools.com/convert-base64-to-png

Pictus, SageThumbs, QuickLook (Preview d'images, fichiers .psd... sous Windows) :

https://poppeman.se/pictus/ ; https://sourceforge.net/projects/sagethumbs/ ; https://github.com/QL-Win/QuickLook

Flutter - Google FCM - Firebase Cloud Messaging

Informations utiles :

• Compte Google utilisé : contact@aswpro.com
• Lien panneau d'administration de Firebase : https://console.firebase.google.com/
• Lien gestion des identifiants API : https://console.developers.google.com/apis/credentials
• Nom du projet FCM : Flutter Notify
• ID du Projet FCM : flutter-notify-c0f74

 

FCM en une image :

Configuration code serveur (php)

Tuto Youtube pour FCM HTTPv1:

https://youtu.be/iz5arafmatc

 

Configuration code application (flutter)

Tuto Youtube :

https://youtu.be/hQGjRcjgm60

https://youtu.be/k0zGEbiDJcQ

 

PDFShrinker - Compresser les PDF en masse

https://github.com/pgodwin/PdfShrinker

Compresser en mode "printer" pour avoir le meilleur rapport qualité / poids

Peut s'utiliser en ligne de command

Version de ghostscript utilisée (avec PdfShrinker v0.1) :

gs10021w32.exe 

Hedis - Scan sécurité Avril 2025

Fichier à récupérer sur le disque local :
- Stockage_Salariés/Quentin/HEDIS Sécurité/BCE_FR_HEDIS_WAS_REPORT_20250401.html

aednet.fr

Pas de faille de niveau 3

bhe-hedis.fr

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Concerne des fichiers/dossiers trouvés en crawlant le site, c'est "dangereux" que si le lien (disons la page) en question comporte des informations sensibles, pour bhe-hedis, ce n'est pas le cas. Ce qui est affiché est normalement public et/ou souhaité par la société.

Vérifier quand même car il est vrai que pour certaines URL, on peut taper des choses bizarres (qui ne sont pas vraiment des pages réelles) et on est pas renvoyés sur un 404 not found. Je ne sais pas en soit si c'est dangereux, mais autant interdire ce genre de choses dans le doute ?

Par exemple : https://bhe-hedis.fr/actualites-detail/40/includes/
https://bhe-hedis.fr/actualites-detail/51/php/ 

Vulnerability - Information Disclosure

Clickjacking - Framable page (last time detected/tested 25 Octobre 2024) 

Pour bhe-hedis, j'ai vérifié les dates et dans ce qui est noté dans le PDF, pas de nouveau tests depuis la date écrite ci-dessus, donc normalement c'est OK de notre côté (il fallait appliquer une Content Security Policy self-ancestor quelque chose de mémoire en entête HTTP du site/des pages). Je ne sais pas pourquoi les alertes sont toujours notées comme "actives".

Use of JavaScript Library With Known Vulnerability (last time detected/tested 28 Mars 2025)

En effet, Jquery est en version 2.2.4 et apparemment les versions au-dessus de 2.2.2 et en-dessous de 3.0.0 ont beaucoup de failles XSS. Donc il faut patcher.

Pareil pour la seconde librairie concernée, bootstrap JS qui est en version 3.3.7 et il faut au moins la 3.4.1 pour également éviter du XSS.

Reverse Tabnapping (last time detected/tested 28 Mars 2025)

Menace : Reverse Tabnabbing is an attack where the target page is replaced by phishing site. This is possible when target="_blank" is in use with rel="noopener" or rel="noreferrer", attacker can use JavaScript window.opener and inject malicious domain in it. When user clicks on html link, they will get redirected to phishing or unintentional website.
WAS detects this vulnerability during crawling and evaluates HTML links embedded in anchor tags.

Impact : The user may be redirected to an untrusted page that contains undesired content or malicious script code.

Solution :
1. Use either of these attributes rel="noreferrer" or rel="noopener".
2. Implement Cross Origin Opener Policy header.

En gros, en fouillant le HTML, là où il y a un target=_blank, généralement sur une balise a href/a target, il faut rajouter une balise en plus ou bien (voir si ça fonctionne tout seul) mettre en place une COOP (Cross Origin Opener Policy) qui est une entête HTTP (https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Cross-Origin-Opener-Policy)

daugeron.fr

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que bhe-hedis, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que bhe-hedis (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

fichot-hygiene.fr

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que daugeron.fr, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que daugeron.fr (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

ica-hygiene.com

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que fichot-hygiene.fr, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que fichot-hygiene.fr (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

sas-blanc.com

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que ica-hygiene.com, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que ica-hygiene.com (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

sodiscol.fr

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que sas-blanc.com, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que sas-blanc.com (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

www.gama29.fr

Pas de faille de niveau 3

www.groupe-hedis.com

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que sodiscol.com, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Passive Mixed Content Vulnerability (first time detected 26 Mai 2023, last time detected 28 Mars 2025)

Il semblerait que ça soit dû à la présence d'un lien/d'une image sur la page, appelé(e) en HTTP alors que le site est HTTPS. Il faudrait charger l'image problématique en HTTPS (si elle existe toujours) sinon dans notre cas ici, ça ne semble plus exister du tout donc la retirer.

Par exemple : Sur la page https://www.groupe-hedis.com/nos-actualites/11/ chargée en HTTPS, l'image en question qui pose problème (et qui n'existe plus) est appelée via le lien http://www.groupe-hedis.com/wp-content/uploads/2018/04/paquerette.png

> Le site n'est plus un Wordpress depuis un moment, donc lien à supprimer ou remplacer par une image "pas d'image" ou "Not found".

Concernant les autres failles de ce site, c'est pareil que sodiscol.com (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

www.nicolasentretien.fr

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que groupe-hedis.com, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que groupe-hedis.com (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

www.orru-hedis.fr

Vulnerability - Information Disclosure

Pareil que groupe-hedis.com (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

www.sopecal-hygiene.com

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Pareil que nicolas-entretien.com, ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Pareil que nicolas-entretien.com (mettre à jour jQuery, Bootstrap) et le Reverse Tabnapping (les target=_blank)

Concernant le fait de mettre à jour jQuery et Boostrap, ça serait logique d'appliquer ça sur les autres sites (pas que ceux d'Hedis) aussi car ils comportent très certainement les mêmes vulnérabilités.