Mohammed CHERIFI

Après les deux premiers tutoriaux au sujet des attaques de type SQL Injection, le billet d’aujourd’hui sera dédié à un vecteur d’attaque un peu particulier, si vous ne connaissez pas les principes d’une injection sql, je vous invite vivement à lire les deux premiers articles avant de passer à la suite ;)
Je rappelle que la [...]

Le réseau des sites web de la célèbre marque Renault, l’un des plus grands acteurs du marché automobile, a été piraté lundi 17 mai 2010 par un groupe de hackers s’intitulant « v4 Team ». Ces derniers ont pu avoir accès sur le serveur principale hébergeant toutes les extensions des domaines renault y compris renault.co.ma.

Suite à cette [...]

Me revoilà, comme promis avec la suite de cette série de tutoriaux, vous vous rappelez bien de l’épisode précèdent ? On avait parlé des injections SQL classiques, on a vu comment un attaquant pourra by-passer une identification, également comment ce dernier peut repérer une injection grâce aux messages d’erreurs et injecter des données depuis [...]

Hello,
Aujourd’hui je vous parlerai d’un vecteur d’attaque très répondu sur internet, c’est SQL Injection, le sujet est très riche, j’ai donc décidé de le répartir en trois parties:

Les injections SQL basiques
SQL Injection avancée
Blind SQL Injection

Dans ce billet, j’expliquerai le concept d’une Injection SQL basique, les différentes formes sous lesquelles elle peut se présenter dans [...]

Salut à tous!
Aujourd’hui je vous parlerai de la sécurité des expressions régulières, appelées aussi expressions rationnelles, ou tout simplement REGEX pour les intimes! Si vous en usé dans vos codes, ce billet est pour vous!
Les expressions rationnelles permettent de manipuler une chaine de caractère de façon très puissante, elles sont souvent utilisées pour la validation [...]

Hello les amis !
Aujourd’hui, je vous parlerai d’un nouveau type de faille, il s’agit de MySQL column truncation!
Pendant que les failles du types SQL Injections restent parmi les vecteurs d’attaque les plus discutés sur le Web, il existe un autre genre qui a été discuté pour la première fois par Stefan [...]

Ruben Unteregger vient de publier le code source de Peskyspy, un cheval de troie pour Skype, le trojan permet le monitoring de tout appel entrant ou sortant d’une machine infectée, d’enregistrer ces conversations et les convertir au format MP3, puis les crypter et les envoyer au serveur de le l’attaquant!
Pendant 7 ans, Ruben Unteregger travaillait [...]

CSRF Injection (Cross Site Request Forgeries) est une classe d’attaque propre aux applications WEB qui a toujours existé mais qui reste moins connue! son exploitation par un attaquant malveillant peut avoir des conséquences dramatique sur un système d’information.
Dans ce billet, je vais vous expliquer ce que c’est une attaque de type CSRF Injection, avec des [...]

Parmi les grands avantages de l’algorithme de hachage MD5 est le fait qu’il est irréversible, autrement dit à sens unique, du coup même si on connais la sortie, il est difficile de trouver l’entrée qui a produit cette sortie.

C’est pour cette raison que la fonction MD5 est fréquemment utilisée pour sécuriser les mots de passes dans les bases de données! en effet plusieurs CMS réputés ,comme Joomla/Drupal/OsCommerce etc.. , l’utilise comme solution de cryptage de mot de passes des utilisateurs.

L’objectif de ce tutorial est d’expliquer une faille qui a été découverte dans les .htaccess, cette faille qui affecte un nombre importants de sites qui utilisent les fichiers .htaccess comme solution afin de restreindre l’accès à certains fichiers sensibles!
Apache c’est quoi?
Apache HTTP Server, souvent appelé Apache, est un logiciel de serveur HTTP produit par l’Apache [...]