Il y a quelques jours ASafety vous communiquait la technique d'escalade de privilège SYSTEM sur les environnements Windows récents avec la méthode AT remise au goût du jour. Vous n'êtes pas sans savoir que la commande AT de gestion des tâches planifiées est considérée comme obsolète.

Pour faire suite à un précédent article sur l'escalade de privilège via la commande des tâches planifiées AT, une variante de cette méthode est pleinement fonctionnelle sous les versions de Windows plus récentes. En effet, du temps de Windows XP les tâches planifiées se géraient exclusivement.

Dans la continuité des évaluations des routeurs/firewall basés sur des distributions Linux et orientés sécurité, voici le tour de ZeroShell. Comme la plupart de ses cousines, ZeroShell offre un large panel de fonctionnalités, dont voici un extrait :

• Routeur statique.
• Routeur NAT (Network address translation) pour pouvoir utiliser des adresses IP privées masquées derrière l’adresse IP.
  Read more

Au cours de récents pentests, il m'a été possible de contourner certaines protections anti-CSRF par le biais de moyen détournés. Pour présenter ces techniques, un cas concret d'une application web vulnérable va être détaillé. L'article suivant illustre l'aspect théorique d'attaques bypassant les protections anti-CSRF. Pour un cas concret et une mise en application, consulter l'article Read more

Au cours de ma veille quotidienne, je suis tombé sur cet article de Gunter Ollmann qui fait un retour sur les dangers des injections SQL appliquées au monde physique. L'illustration humoristique suivante, qui commence à dater, décrit une des applications possibles des SQLi physiques (bien que ce soit très.