Une vulnérabilité DOM-XSS a été découverte sur le portail principal NASA.gov.

Suite à la découverte de vulnérabilités dans trois sous-domaines de la NASA et à l'advisory de mon ami Yann C. je fut invité par ce dernier à "surfer" sur le.

Read more

Une vulnérabilité de type "Reflected XSS" a été décelée au sein d'un sous-domaine d'Oracle.com. Ce vecteur d'attaque portait sur la page de désinscription aux newsletters de l'éditeur. Exploitable directement via un paramètre GET, sans nécessiter d'obfuscation quelconque ni de filter-bypass, elle aurait permis à un assaillant de détourner et corrompre le rendu de la page de.

Read more

Un sous domaine de synology.com présente une vulnérabilité d’injection de code JavaScript réfléchi (XSS Reflected) lors des échanges des protocoles d'autorisation (OAuth) suite à la mise en place du paquet "CloudSync".

Synology est un fournisseur d'équipements de stockage accessibles sur le réseau (NAS) d'une grande qualité et avec une multitude de fonctionnalités. J'affectionne tout particulièrement.

Read more

Des XSS réfléchies (RXSS) ont été découvertes dans le système de Bug Tracking "JitterBug" sur les domaines principaux "www.samba.org" et "www.openldap.org".

JitterBug est un projet de "Bug Tracker" supporté et hébergé par Samba.org. Ce Bug Tracker est à présent suspendu et n'est plus maintenu. Le portail de Samba.org conserve la page de présentation.

Read more

Courant octobre 2014, j'ai pu reporter deux vulnérabilités de type "Reflected XSS" et "DOM-XSS" aux équipes en charge du domaine principal "java.com". La vulnérabilité RXSS affectait l'ensemble du module d'aide de www.java.com, quelque soit le template de la langue utilisée. La DOM-XSS quant à elle impactait uniquement le module d'impression des pages. Revenons plus précisement sur.

Read more