Exploitation d’une faille LFI (Local File Inclusion) et bonnes pratiques sécurité Lorsque nous visitons un site web, il est courant de pouvoir parcourir différentes pages. Chaque page peut être représentée par un fichier sur le serv... 04.08 Apps Web & Mobiles
Test d’intrusion web : objectifs, méthodologie, tests en boite noire, grise et blanche Face à des attaques de plus en plus nombreuses et élaborées, la sécurité des applications web est un enjeu majeur. En effet, la sécurité revêt aujourd... 22.06 Apps Web & Mobiles
Chiffrement des données et défaillances cryptographiques : Top 10 OWASP #2 Dans un précédent article, nous avions passé en revue la vulnérabilité la plus critique des applications web selon le Top 10 OWASP : le défaut de... 16.05 Apps Web & Mobiles
Top 10 OWASP #1 : sécurité et vulnérabilités du contrôle d’accès L’OWASP (Open Web Application Security Project) est une communauté qui œuvre à l’amélioration de la sécurité des systèmes d’information. C... 27.03 Apps Web & Mobiles
Exploitation d’une injection HTML avec dangling markup Lors d’un test d’intrusion d’application web, nous sommes tombés sur la situation suivante. 21.02 Apps Web & Mobiles
Failles IDOR (Insecure Direct Object Reference) : principes, attaques, mesures et tests sécurité Les IDOR (pour Insecure Direct Object Reference) sont des vulnérabilités très répandues dans les applications web au même titre que les failles XSS ou... 05.02 Apps Web & Mobiles
Exploitation d’un manque de contrôle de droits sur GraphQL Lors d’un pentest d’application web, nous avons découvert une vulnérabilité liée à la configuration et à la mauvaise gestion des contrôles... 26.01 Apps Web & Mobiles
Exploitation d’une injection SQL avec contournement de WAF Découverte d’une injection SQL avec le scanner de BURP Lors d’un pentest, nous sommes tombés sur cette situation : 13.12 Apps Web & Mobiles
Failles XSS (Cross-site Scripting) : principes, types d’attaques, exploitations et bonnes pratiques sécurité Le Cross-site Scripting (abrégé XSS) est une vulnérabilité particulièrement répandue dans les applications web. En effet, plus d’une application sur d... 26.09 Apps Web & Mobiles
Audit d’une application protégée par jeton CSRF avec Stepper Introduction Le jeton CSRF est une protection qui requiert l’insertion d’une valeur aléatoire et dynamique dans une requête. Cette valeur est ensuite ... 29.08 Apps Web & Mobiles
Une vulnérabilité RCE dans un nom de fichier Lors des tests d’intrusion que nous menons, nous sommes régulièrement confrontés à des vulnérabilités qui permettent d’exécuter des commandes su... 17.03 Apps Web & Mobiles
Faut-il donner accès au code source lors d’un pentest d’application web ? Donner accès au code source lors d’un pentest présente principalement des avantages ou des inconvénients, selon les points de vue ! Voici notre r... 26.10 Apps Web & Mobiles
