[Contribution] Oracle Reflected XSS vulnerabilité

Posted by: Yann C.  /   Category: Actualités & News / Contributions / Vulnérabilités, exploits et PoC / XSS   /   Pas de commentaire
04
avril
2015

Une vulnérabilité de type "Reflected XSS" a été décelée au sein d'un sous-domaine d'Oracle.com. Ce vecteur d'attaque portait sur la page de désinscription aux newsletters de l'éditeur. Exploitable directement via un paramètre GET, sans nécessiter d'obfuscation quelconque ni de filter-bypass, elle aurait permis à un assaillant de détourner et corrompre le rendu de la page de.

Read more

[Contribution] Java.com, DOM-XSS & Reflected XSS

Posted by: Yann C.  /   Category: Actualités & News / Contributions / XSS   /   Pas de commentaire
31
mars
2015

Courant octobre 2014, j'ai pu reporter deux vulnérabilités de type "Reflected XSS" et "DOM-XSS" aux équipes en charge du domaine principal "java.com". La vulnérabilité RXSS affectait l'ensemble du module d'aide de www.java.com, quelque soit le template de la langue utilisée. La DOM-XSS quant à elle impactait uniquement le module d'impression des pages. Revenons plus précisement sur.

Read more

[Contribution] Adobe : injection de code JavaScript – XSS

Posted by: Yann C.  /   Category: Actualités & News / Contributions / XSS   /   Pas de commentaire
08
déc.
2014

Un sous domaine de adobe.com présente une vulnérabilité d'injection de code JavaScript réfléchi (XSS Reflected) lors du processus d'obtention du plugin Flash qui n'est plus à présenter.

Depuis maintenant plusieurs mois/années, le plugin Flash Player de Adobe charge un démon sur les systèmes Windows qui s'exécute au lancement de la machine, et vérifie si.

Read more
01
nov.
2012

Au lendemain d'Halloween, il me fallait bien marquer le coup. Plutôt que d'appliquer le célèbre adage anglais "Trick or T(h)reat" pour l'occasion, laissez moi vous détailler de manière synthétique différentes techniques qui vous aideront peut être à l'avenir, et vous sensibiliseront en même temps lorsqu'elles sont exploitées par des assaillants. J'ai souhaité centraliser certaines des.

Read more

6,5 sur 150 millions des comptes LinkedIn ont été volés

Posted by: Yann C.  /   Category: Actualités & News   /   Pas de commentaire
LinkedIn
07
juin
2012

LinkedIn, l'un des plus grand réseau social professionnel en ligne, fait polémique depuis hier quant à une brèche sur son système qui a permis à un pirate russe de voler environ 6.5 millions de login/password. Ces logins/passwords (hash SHA-1 sans sel) ont été diffusés sur des boards russes et la communauté underground s'est aussitôt mise à.

Read more