[XSS] SPIP Core <= 3.0.1, 2.1.14, 2.0.19 admin panel

Posted by: Yann C.  /   Category: Vulnerabilities, exploits and PoC   /   No Comments
13
Jun
2012

Une nouvelle version de SPIP vient de sortir aujourd'hui, pour chacune des branches du projet. Au menu, de nombreuses améliorations, corrections d'erreurs et des vulnérabilités XSS.

ASafety a décelé une de ces XSS (non-permanente) et prévenu l'équipe en charge du développement de SPIP le 07/06/2012. Suite à quelques échanges, un patch correctif débouchant sur une nouvelle.

Read more

6,5 sur 150 millions des comptes LinkedIn ont été volés

Posted by: Yann C.  /   Category: News   /   No Comments
LinkedIn
07
Jun
2012

LinkedIn, l'un des plus grand réseau social professionnel en ligne, fait polémique depuis hier quant à une brèche sur son système qui a permis à un pirate russe de voler environ 6.5 millions de login/password.

Ces logins/passwords (hash SHA-1 sans sel) ont été diffusés sur des boards russes et la communauté underground s'est aussitôt mise à.

Read more
06
Jun
2012

Ce n'est pas nouveau mais ça revient à l'actualité. L'escalade de privilège permet d'acquérir les droits NT AUTHORITY\SYSTEM au sein d'un système Windows, sans pour autant disposer d'un moyen légitime d'y accéder.

De tels droits sont extrêmement convoités par les intrus/pirates/pentesteurs d'un système pour étendre leur contrôle et notamment placer des backdoors/rootkits en profondeur.

Dans le cas présent, c'est une.

Read more
05
Jun
2012

Un problème récurent qui peut affecter divers fichiers d'un site web (page xHTML, CSS, script PHP...) concerne la présence de caractères blancs en amont et aval de tels fichiers. Diverses raisons peuvent mener au besoin de supprimer ces caractères, d'où la réalisation du script qui suit qui s'occupe automatiquement d'identifier récursivement les fichiers concernés et.

Read more
05
Jun
2012

Une étape relativement longue et redondante lors de la conception et développement d'une application web consiste à parcourir tous les répertoires de l'application pour vérifier s'il y avait bien un fichier "index" dedans (afin d'éviter les IndexOf, de voir les bannières du serveur etc...).

Il m'a donc été nécessaire de créer ce petit script tout bête, qui.

Read more