2024
Dernière mise à jour
Dernière mise à jour
La version 0.6.0 vient XET (XSS Exploitation Tool) est maintenant disponible : https://github.com/Sharpforce/XSS-Exploitation-Tool/releases/tag/v0.6.0
Je vous propose mon analyse de la CVE-2020-26311, qui est une vulnérabilité de type Regular expression Denial of Service (ReDoS) dans le projet Node.js useragent.
La version 1.4 de MyExpense est maintenant disponible. Il s'agit d'une mise à jour visant à corriger un bug survenant lors de l'exploitation de l'injection SQL. De plus, il est maintenant possible d'installer MyExpense via Docker.
23 Sept 2024 Labs
La version 0.5.0 vient XET (XSS Exploitation Tool) est maintenant disponible : https://github.com/Sharpforce/XSS-Exploitation-Tool/releases/tag/v0.5.0
Exploitation des injections SQL au sein de la clause ORDER BY
Les injections SQL peuvent surgir de manière inattendue, même dans les clauses ORDER BY. Comprenez les subtilités de ces attaques et maîtriser les techniques de défense pour protéger vos applications.
15 Août 2024 API SQL Injection
Parution de mon livre, Sécurité des applications web - Stratégies offensives et défensives
Un article destiné à dévoiler mon tout premier ouvrage sur la sécurité des applications web, publié par les Editions ENI.
Dompurify 3.0.10 bypass - Confusion nodeName and CDATA
Un article reprenant le travail de RyotaK concernant le bypass de Dompurify dans sa version 3.0.10.
Dompurify 3.0.9 bypass - Node type confusion
Un article reprenant le travail de slonser concernant le bypass de Dompurify dans sa version 3.0.9.
Bypass de validation d'URL et embedded credentials côté front
Petit retour d'expérience suite à un audit concernant l'utilisation des embedded credentials à des fins de contournement de validation d'URL couplée aux différents comportements des navigateurs lors du chargement d'une telle ressource ressource.
La version 1.3 de MyExpense est maintenant disponible. Il s'agit d'une mise à jour corrigeant un bug lors de l'installation à partir des sources, pour lequel un script automatique est maintenant fournit. De plus, la machine virtuelle a été mise à jour vers Debian 12.
10 Juin 2024 Books
08 Avril 2024 Bypass
27 Mars 2024 Labs