Category Archives: WebSecurity

INJECTION – WAF : 1 – 0

Petit truc pour injecter de la commande avec un Waf négatif devant; En reviewant la liste plus qu’exhaustive des injections interdites par les signatures d’un WAF (Web Application Firewall) commercial. Et quand je dit exhaustive je pese mes mots, le bignou … Continue reading

Posted in WebSecurity | Tagged , | 2 Comments

SQLi, ce n’est pas assez SELECT.

Un petit article sympas d’un certain Osanda Malith Jayathissa. Sri lankais de son état et qui documente bien les injections MySQL possible avec les méthodes update, delete et insert into. Il revient en détail et par l’exemple sur les injections possibles … Continue reading

Posted in WebSecurity | Tagged , , | Leave a comment

Marty va chercher la DELOREAN.

Oui vous ne rêvez pas… Un CVE de 2014 pour le vénérable Mosaic, alias le père de tous les browsers pour les plus jeunes d’entre vous qui l’ignorez. Browser dont la dernière version date de 1997. Je parie qu’on aura pas … Continue reading

Posted in BlaBla, WebSecurity | Tagged | Leave a comment

CVE-2014-0160, Probablement le poney award de l’année.

Ce n’est pas une énième attaque SSL qui ne sortira pas d’un labo, mais bel et bien un beau bug ma fois. Avec moultes exploits qui fleurissent depuis hier. https://www.openssl.org/news/secadv_20140407.txt http://s3.jspenguin.org/ssltest.py https://gist.github.com/takeshixx/10107280 http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-suricata/ En clair, on peut dumper 64ko de … Continue reading

Posted in Crypto, WebSecurity | Tagged , , | Leave a comment

Hé bin on se lache ! L’injecteur social.

Il n’y a pas de doutes, on a franchis un cap, voila que les teams indonésiennes spécialisées dans le ponçage d’applications web mettent directement leur liens facebook et twitter dans les injecteurs. Grosse Grosse classe ! https://www.facebook.com/Newbie.Yang.Hilang.TeaM https://twitter.com/NyhTeaM  

Posted in Hacking, WebSecurity | Tagged , , , | Leave a comment

PHP… La débacle est toujours en marche.

C’est pas tout jeune jeune, mais ça à le don de toujours m’énerver : http://php.net/manual/en/features.safe-mode.php The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the … Continue reading

Posted in WebSecurity | Tagged , | Leave a comment

ENFIN… WordPress s’update comme un grand.

 

Posted in BlaBla, WebSecurity | Tagged , | Leave a comment

Bande de Bots !

Sérieux les gars… vous n’avez pas un autres websites sous wordpress plus juteux ? vous avez lu la configuration de harden de wordpress ? 302 IPs différentes bannies juste aujourd’hui pour avoir tenter de bruteforcer la page d’admin. Merci donc à … Continue reading

Posted in BlaBla, WebSecurity | Tagged , , , | 2 Comments

Non mais Allow quoi !

J’ai pondu un petit script [f5discovery] qui fait le travail tout seul… C’est trop drôle… ça marche à tous les coups.. et ça fait juste un petit Get :) Mais de nos jours par peur des représailles je ne peux montrer … Continue reading

Posted in Network, WebSecurity | Tagged , , , | 10 Comments

Quand le loadbalanceur donne un peu d’infos sur les backends.

Si on croise un Loadbalanceur F5 LTM il se peut que l’on reçoive ce genre de cookies.

Dans ce cas de figure on sait deux chose.. On est devant un F5 BigIP. On sait aussi le port et l’ip du … Continue reading

Posted in Network, WebSecurity | Tagged , , | 3 Comments