Introduction Au fil des années, la certification OSCP d’Offensive Security est devenue une véritable référence au sein des formations/certifications orientées sécurité offensive. En effet, à l’inverse de nombreuses autres certifications, celle-ci se résume à un examen technique et pratique dans lequel il est nécessaire de compromettre plusieurs machines au sein d’un réseau mis à disposition….
IronPython… OMFG V2.0 Par Marcello Slavati Marcello Salvati, un chercheur/développeur en sécurité offensive bien connu dans ce domaine, fait une présentation sur IronPython et les autres langages tel que BooLang permettant d’utiliser le framework .NET. Cette utilisation repose sur le principe de CLR (Common Language Runtime), l’équivalent de la machine virtuelle Java JVM. L’avantage lors…
Le Hack In Paris réunit depuis bien des années de nombreux professionnels de la sécurité informatique à Paris pour traiter divers sujets techniques dans l’ensemble des domaines de la sécurité informatique. Cette année, BSSI était présent à la 9e édition. Dans cet article, nous vous proposons des résumés de quelques conférences du premier jour :…
Comme chaque année depuis la 1ère édition en 2011, le Hack In Paris, évènement en cyber sécurité se tiendra à Paris du 16 au 20 juin 2019. Cette nouvelle édition accueillera plus de 750 passionnés sur les 5 jours à la Maison de la Chimie. Les conférences proposées exclusivement en anglais et qui auront lieu…
1. Introduction De nombreux systèmes de gestion de contenu (CMS) se basent sur le langage de programmation PHP. Ce langage de programmation désigné pour du développement Web a été créé il y a 25 ans (1994) par Rasmus Lerdorf. PHP est très répandu dans le monde des sites Web et une grande communauté le fait…
1. Introduction D’après une étude réalisée par W3Techs (Web Technology Surveys), WordPress représenterait plus de 33% (pourcentage datant du mois de mars 2019) de l’ensemble des sites Web disponible sur Internet. Ce système de gestion de contenu (CMS) est de ce fait exposé et la cible de nombreux pirates informatiques. Il y a quelques jours,…
A Common Vulnerability Exposure (CVE-2019-5736) was released on February 11, 2019, regarding Docker, the well-known containerization platform. This vulnerability allows to escape from a container and get a root access on its host machine. That could be done by overwriting a binary file (runC) on a host machine from one of its containers. The flaw…
Explication technique Une vulnérabilité SSH affectant toutes les versions d’OpenSSH à partir de la 2.3, a récemment été publiée par des chercheurs « Qualys Security ». Celle-ci, ne possédant aucun correctif, permet d’énumérer les noms d’utilisateurs présents sur le serveur sous-jacent. Pour cela, un attaquant doit envoyer un paquet mal formé au serveur OpenSSH. Lorsque…
Le consortium Wi-Fi Alliance a récemment officialisé le nouveau standard des connexions sécurisées sans-fil WPA3 (Wi-Fi Protected Access 3). Ce nouveau protocole vient remplir les lacunes de sécurité de son prédécesseur WPA2, afin d’offrir une meilleure protection contre les attaques sans-fil actuelles. Les mécanismes de sécurité WPA et WPA2 WPA « Wi-Fi Protected Access »…
Contexte La vulnérabilité “Arbitrary File Deletion” impactant les versions antérieures à WordPress 4.9.6 a été reportée le 20 novembre 2017 à l’équipe sécurité de WordPress sur HackerOne. Cette vulnérabilité est exploitable à partir d’un compte utilisateur authentifié et permet de supprimer des fichiers sur le serveur. Toutefois, le compte utilisateur doit disposer d’un certain niveau…
© 2017 Blog BSSI, inc. All rights reserved.