[Contribution] NASA sous-domaines : multiples vulnérabilités

Posted by: Yann C.  /   Category: Contributions / SQLi / Vulnérabilités, exploits et PoC / XSS   /   Aucun commentaire
nasa-logo
27
janv.
2015

Plusieurs sous-domaines de la NASA présentent des vulnérabilités d'injection de code (JavaScript XSS / SQLi ColdFusion).

Au cours de mes navigations dominicales sur la toile, j'ai atterri sur un portail gouvernemental de la NASA, la National Aeronautics and Space Administration, qui à titre de rappel,  est responsable du programme spatial civil des États-Unis. En parcourant les pages.

Read more

[Contribution] eBay : CSS injection & XSS potentielle

Posted by: Yann C.  /   Category: Contributions / Vulnérabilités, exploits et PoC / XSS   /   Aucun commentaire
20
déc.
2014

Un sous domaine de ebay.com présente une vulnérabilité d'injection de code CSS réfléchi (CSS Reflected) et par conséquent une XSS potentielle.

Une vulnérabilité d'injection de code réfléchi au sein d'une balise xHTML "input" de type "hidden" a été décelée au sein du sous-domaine "ocsnext.ebay.com". Il est possible de manipuler les attributs de la balise "input" afin de.

Read more

Vulnérabilités Open-Redirect au sein de PayPal

Posted by: Yann C.  /   Category: Contributions / Vulnérabilités, exploits et PoC   /   Aucun commentaire
17
déc.
2014

Courant juillet 2014, suite à la réception d'un e-mail promotionnel en provenance de PayPal, une vulnérabilité de type "Open-Redirect" sur leur plateforme m'est apparue. Les e-mails PayPal comportent dans le corps des messages des liens vers les réseaux sociaux de l'entreprise ; notamment Facebook. En regardant l'URL attachée au logo "Facebook", un distingue clairement l'URL de.

Read more

[Contribution] Adobe : injection de code JavaScript – XSS

Posted by: Yann C.  /   Category: Actualités & News / Contributions / XSS   /   Aucun commentaire
08
déc.
2014

Un sous domaine de adobe.com présente une vulnérabilité d'injection de code JavaScript réfléchi (XSS Reflected) lors du processus d'obtention du plugin Flash qui n'est plus à présenter.

Depuis maintenant plusieurs mois/années, le plugin Flash Player de Adobe charge un démon sur les systèmes Windows qui s'exécute au lancement de la machine, et vérifie si.

Read more