[Contribution] Synology : injection de code JavaScript – XSS

Posted by: Yann C.  /   Category: Contributions / Vulnérabilités, exploits et PoC / XSS   /   Aucun commentaire
03
avril
2015

Un sous domaine de synology.com présente une vulnérabilité d’injection de code JavaScript réfléchi (XSS Reflected) lors des échanges des protocoles d'autorisation (OAuth) suite à la mise en place du paquet "CloudSync".

Synology est un fournisseur d'équipements de stockage accessibles sur le réseau (NAS) d'une grande qualité et avec une multitude de fonctionnalités. J'affectionne tout particulièrement.

Read more
02
avril
2015

Des XSS réfléchies (RXSS) ont été découvertes dans le système de Bug Tracking "JitterBug" sur les domaines principaux "www.samba.org" et "www.openldap.org".

JitterBug est un projet de "Bug Tracker" supporté et hébergé par Samba.org. Ce Bug Tracker est à présent suspendu et n'est plus maintenu. Le portail de Samba.org conserve la page de présentation.

Read more

[Contribution] Java.com, DOM-XSS & Reflected XSS

Posted by: Yann C.  /   Category: Actualités & News / Contributions / XSS   /   Aucun commentaire
31
mars
2015

Courant octobre 2014, j'ai pu reporter deux vulnérabilités de type "Reflected XSS" et "DOM-XSS" aux équipes en charge du domaine principal "java.com". La vulnérabilité RXSS affectait l'ensemble du module d'aide de www.java.com, quelque soit le template de la langue utilisée. La DOM-XSS quant à elle impactait uniquement le module d'impression des pages. Revenons plus précisement sur.

Read more

[Contribution] NASA sous-domaines : multiples vulnérabilités

Posted by: Yann C.  /   Category: Contributions / SQLi / Vulnérabilités, exploits et PoC / XSS   /   Aucun commentaire
nasa-logo
27
janv.
2015

Plusieurs sous-domaines de la NASA présentent des vulnérabilités d'injection de code (JavaScript XSS / SQLi ColdFusion).

Au cours de mes navigations dominicales sur la toile, j'ai atterri sur un portail gouvernemental de la NASA, la National Aeronautics and Space Administration, qui à titre de rappel,  est responsable du programme spatial civil des États-Unis. En parcourant les pages.

Read more
22
déc.
2014

SmoothWall est une distribution Linux open-source sous licence GPL, qui fait office de firewall/routeur sécurisé. Référence dans le domaine, et à la base de projet annexe tel que IPCop (fork de SmoothWall), cette distribution orientée sécurité s'administre par WebGUI en HTTP (port 81) ou HTTPS (port 441). La branche des versions.

Read more