Injection de requêtes Ransack : analyse et exploitation d’une vulnérabilité ORM Les développeurs s’appuient souvent sur des bibliothèques pour gérer les communications avec les bases de données. Cela leur évite d’écrire des requêt... 02.02 Apps Web & Mobiles
Exploitation en boite noire d’une vulnérabilité de type désérialisation Les vulnérabilités liées à la désérialisation sont souvent difficiles à exploiter. Dans la plupart des cas, il faut accéder au code source pour identi... 03.07 Apps Web & Mobiles
Vol de comptes via détournement de tokens d’authentification La plupart des applications intègrent une fonctionnalité, au demeurant critique, permettant d’identifier les utilisateurs. L’objectif : garantir la c... 15.09 Apps Web & Mobiles
Exploitation d’une faille LFI (Local File Inclusion) et bonnes pratiques sécurité Lorsque nous visitons un site web, il est courant de pouvoir parcourir différentes pages. Chaque page peut être représentée par un fichier sur le serv... 04.08 Apps Web & Mobiles
Audit en boite blanche d’un pipeline CI/CD sur AWS Récemment, un de nos clients nous a demandé d’examiner son pipeline d’intégration et de déploiement continu (CI/CD), déployé sur une infrastruct... 14.04 Cloud
Exploitation d’une injection HTML avec dangling markup Lors d’un test d’intrusion d’application web, nous sommes tombés sur la situation suivante. 21.02 Apps Web & Mobiles
Exploitation d’un manque de contrôle de droits sur GraphQL Lors d’un pentest d’application web, nous avons découvert une vulnérabilité liée à la configuration et à la mauvaise gestion des contrôles... 26.01 Apps Web & Mobiles
Exploitation d’une injection SQL avec contournement de WAF Découverte d’une injection SQL avec le scanner de BURP Lors d’un pentest, nous sommes tombés sur cette situation : 13.12 Apps Web & Mobiles
Audit d’une application protégée par jeton CSRF avec Stepper Introduction Le jeton CSRF est une protection qui requiert l’insertion d’une valeur aléatoire et dynamique dans une requête. Cette valeur est ensuite ... 29.08 Apps Web & Mobiles
Une vulnérabilité RCE dans un nom de fichier Lors des tests d’intrusion que nous menons, nous sommes régulièrement confrontés à des vulnérabilités qui permettent d’exécuter des commandes su... 17.03 Apps Web & Mobiles
Un secret en dur dans Pancake mène à la prise de contrôle de comptes – Bulletin Vaadata TL;DR Pancake est un logiciel de facturation en ligne, de management de projets et de gestion du temps et des devis. Un secret codé en dur, parta... 08.09 Apps Web & Mobiles
