Une vulnérabilité de type "Reflected XSS" a été décelée au sein d'un sous-domaine d'Oracle.com. Ce vecteur d'attaque portait sur la page de désinscription aux newsletters de l'éditeur. Exploitable directement via un paramètre GET, sans nécessiter d'obfuscation quelconque ni de filter-bypass, elle aurait permis à un assaillant de détourner et corrompre le rendu de la page de.

Read more

Courant octobre 2014, j'ai pu reporter deux vulnérabilités de type "Reflected XSS" et "DOM-XSS" aux équipes en charge du domaine principal "java.com". La vulnérabilité RXSS affectait l'ensemble du module d'aide de www.java.com, quelque soit le template de la langue utilisée. La DOM-XSS quant à elle impactait uniquement le module d'impression des pages. Revenons plus précisement sur.

Read more

Un sous domaine de adobe.com présente une vulnérabilité d'injection de code JavaScript réfléchi (XSS Reflected) lors du processus d'obtention du plugin Flash qui n'est plus à présenter.

Depuis maintenant plusieurs mois/années, le plugin Flash Player de Adobe charge un démon sur les systèmes Windows qui s'exécute au lancement de la machine, et vérifie si.

Read more

Au lendemain d'Halloween, il me fallait bien marquer le coup. Plutôt que d'appliquer le célèbre adage anglais "Trick or T(h)reat" pour l'occasion, laissez moi vous détailler de manière synthétique différentes techniques qui vous aideront peut être à l'avenir, et vous sensibiliseront en même temps lorsqu'elles sont exploitées par des assaillants. J'ai souhaité centraliser certaines des.

Read more

LinkedIn, l'un des plus grand réseau social professionnel en ligne, fait polémique depuis hier quant à une brèche sur son système qui a permis à un pirate russe de voler environ 6.5 millions de login/password. Ces logins/passwords (hash SHA-1 sans sel) ont été diffusés sur des boards russes et la communauté underground s'est aussitôt mise à.

Read more