Articles

Le secteur du retail est une cible privilégiée des attaquants. Entre la gestion des comptes clients, les paiements, les cartes cadeaux ou encore les programmes de fidélité, un site e-commerce concentre une quantité importante de données sensibles et de flux financiers. Dans la pratique, les vulnérabilités exploitées sont souvent simples : absence de contrôle serveur, fuite d’informations via les messages d’erreur, contournement du paiement ou encore brute-force sur des fonctionnalités exposées publiquement.

Dans l’univers des applications web modernes, les requêtes HTTP sont au cœur de l’interaction navigateur / serveur. Mais ces mêmes requêtes peuvent aussi être exploitées par des attaquants pour réaliser des attaques comme le Cross-Site Request Forgery (CSRF).

Cet article a pour objectif de présenter les paramètres de sécurité à appliquer aux technologies de conteneurisation Docker. Il décrit les bonnes pratiques pour créer une image Docker depuis le fichier Dockerfile. Création d’une image Docker Une image Docker est construite à l’aide d’un fichier Dockerfile qui consiste en une suite d’instructions interprétées par le client Docker lors de la création de l’archive de l’image. Certaines instructions constituent une couche du conteneur (layer).

Webpix est un challenge web de Insomnihack Teaser 2023. Il est composé de deux services HTTP qu’il faut exploiter pour récupérer le flag. Le code source est disponible et permet de comprendre la logique d’exploitation.

Nginx est un serveur web et un reverse-proxy. Comme tout outils, une revue de configuration permet de mettre en avant des faiblesses liées à sa configuration.

Pour ce premier write-up d’une machine HackTheBox, je vous propose de revenir sur une machine facile : RouterSpace. Ce n’est pas un write-up complet mais une présentation d’une technique d’analyse statique de l’application Android.

Les en-têtes HTTP indiquent au navigateur web la manière de se comporter suivant différentes situations. Certaines de ces situations peuvent introduire des faiblesses de sécurité. Cet article a pour objectif de présenter ces en-têtes, dits “de sécurité”, et de comprendre leur fonctionnement.