2022

Les injections CSS - Scroll-to-Text Fragment

Cette exploitation d'une injection CSS va permettre à l'attaquant de savoir si l'occurrence d'un mot est présent ou non sur la page ciblée. Cela peut être utile afin d'identifier par exemple, si la victime est connectée en tant qu'administrateur ou non.

📅 16 Déc 2022 📂CSS Injection


Les injections CSS - Règle @import

On continue sur le sujet des injections CSS avec cette fois l'utilisation de la règle @import. L'objectif est toujours de récupérer des informations contenues dans les attributs HTML, mais cette fois, sans avoir besoin d'iframer la page vulnérable.

📅 15 Déc 2022 📂CSS Injection


Les injections CSS - Règle @font-face et descripteur unicode

Dans cet article, l'exploitation de l'injection CSS ne va plus cibler le contenu des attributs HTML, mais le contenu des éléments HTML, avec certaines limitations toutefois.

đź“… 20 Nov 2022 đź“‚CSS Injection


Les injections CSS - Attribute Selector

Les injections CSS ne sont pas les vulnérabilités les plus connues, mais permettent tout de même certaines exploitations. Pour illustrer cela, nous commençons par la récupération de valeurs d'attributs HTML grâce aux sélecteurs d'attributs CSS.

đź“… 06 Nov 2022 đź“‚CSS Injection


XSS Exploitation Tool v0.4.0

La version 0.4.0 vient XET (XSS Exploitation Tool) est maintenant disponible : https://github.com/Sharpforce/XSS-Exploitation-Tool/tree/v0.4.0

đź“… 26 Oct 2022 đź“‚XSS đź“‚Tooling


Cross-Site Scripting (XSS) et schéma d'URI javascript

Dans cet article, nous allons examiner quelques exemples d'injections XSS possibles lorsque les données entrées par l'utilisateur sont réfléchies au sein d'un attribut HTML représentant une URL, tel que href, src, ou url.

đź“… 17 Sept 2022 đź“‚XSS


Practical Web Penetration Testing

Mon retour sur le livre Practical Web Penetration Testing de Gus Khawaja, paru en 2018.

📅 20 Août 2022 📂Books


XSS Vulnerability Challenges

Mon writeup de l'application PHP "xss_vulnerability_challenges" qui propose une série de 8 challenges sur la thématique de la vulnérabilité XSS.

📅 02 Août 2022 📂XSS 📂Labs


Est-il possible de contourner la fonction PHP htmlspecialchars() ?

La fonction htmlspecialchars() est fréquemment utilisée pour nettoyer les entrées utilisateur dans les applications PHP natives (comprendre sans utilisation de framework). Est-elle suffisante pour couvrir tous les cas d'utilisation ? C'est ce que nous allons tenter de découvrir dans cet article.

đź“… 29 Juil 2022 đź“‚XSS


SAST - PHP CodeSniffer orienté sécurité dans Visual Studio (sous Debian)

PHP Code Sniffer est un outil qui permet d'analyser le code source PHP d'une application pour détecter des mauvaises pratiques de développement en se basant sur un ensemble de règles. Ces règles concernent principalement la qualité du code, mais il est également possible d'en ajouter pour détecter des failles de sécurité.

đź“… 18 Juil 2022 đź“‚Tooling đź“‚DevSecOps


SAST - PHP CodeSniffer orienté sécurité dans Visual Studio (sous Windows)

PHP Code Sniffer est un outil qui permet d'analyser le code source PHP d'une application pour détecter des mauvaises pratiques de développement en se basant sur un ensemble de règles. Ces règles concernent principalement la qualité du code, mais il est également possible d'en ajouter pour détecter des failles de sécurité.

đź“… 12 Juil 2022 đź“‚Tooling đź“‚DevSecOps


Web Hacking 101: How to Make Money Hacking Ethically

Mon retour sur le livre Web Hacking 101: How to make Money Hacking Ethically de Peter Yaworski, paru en 2018.

đź“… 01 Juil 2022 đź“‚Books


CVE-2022-33910

Je vous propose mon analyse de la CVE-2022-33910, qui est une vulnérabilité de type Cross-Site Scripting (XSS) dans l'application de suivi de bogues MantisBT.

đź“… 01 Juil 2022 đź“‚XSS đź“‚CVE


CVE-2022-32444

Je vous propose mon analyse de la CVE-2022-32444, qui est une vulnérabilité de type Open Redirect dans le système de gestion de contenu (CMS) nommé u5CMS.

đź“… 23 Juin 2022 đź“‚Open Redirect đź“‚CVE


CVE-2022-32442

Je vous propose mon analyse de la CVE-2022-32442, qui est une vulnérabilité de type Cross-Site Scripting (XSS) dans le système de gestion de contenu (CMS) nommé u5CMS.

đź“… 22 Juin 2022 đź“‚XSS đź“‚CVE

Dernière mise à jour