Faille critique sur Synology DSM
En lire plus sur CVEDETAILS Tout le monde connait Synology aussi bien dans les PME, TPE que chez les particuliers. De plus beaucoup par commodité laisse leur NAS en libre accès sur le net. Une simple recherche sur shodan montre 2 850 000 Synology référencé dont 158 000 en France. Cette faille est donc loin […]
Faille critique sur le logiciel de visioconférence Zoom
Plus d’infos sur CVEDETAILS Une faille CVE vient d’être découverte sur les clients ZOOM pour Windows, Linux, Macos et Android. Toutes les versions inférieures a 5.12.2 sont impactées. L’attaque est relativement simple, il suffit de transmettre un lien zoom pour une visioconférence. La faille est dans le système de parsing de l’url qui permet au […]
Sherlock – Trouver des comptes de réseaux sociaux
Sherlock – Trouver des comptes de réseaux sociaux Il existe des tas de réseaux sociaux sur Internet. Lorsque l’on fait une reconnaissance OSINT sur une personne, on peut être amené à rechercher les différents posts de la cible sur internet pour plusieurs raisons. Connaître ses centres d’intérêts pour du social engineering Établir un dictionnaire d’attaque […]
Faille critique sur GLPI 10.0.2
En lire plus sur CVEDETAIL GLPI est un logiciel opensource de gestionnaire de parc informatique. Très utilisé par les SI dans les entreprises il contient des informations critiques tels que les mots de passe, les bases de données, les informations sur les serveurs et équipements connectés. Arriver à pénétrer dans le GLPI d’une entreprise c’est […]
OSINT – RECON-NG Partie 2
OSINT – Recon-NG Partie 2 Deuxième partie du tutorial sur RECON-NG, nous avons vu précédement comment installer les modules et les paramétrer. Vous devez donc avoir un RECON-NG fonctionnelle. Dans ce nouveau tuto, nous allons aborder les notions de workspaces, de db et de snapshots et quelques commandes de base. Vous serez alors armer pour […]
OSINT – RECON-NG Partie 1
OSINT – Recon-NG Partie 1 Dans un précèdent tutorial, je vous ai parlé vite fait de footprinting en mode passif, appelé aussi OSINT. L’OSINT (Open Source INTelligence) est une information quia été délibérément été ouverte au public.De ce fait, il est tout a fait légale en France de pratiquer l’OSINT. Le vrai problème reste que […]
Footprinting en mode passif
Le Footprinting en mode passif Étape primordiale lors des tests de cybersécurité, le footprinting est l’art de trouver de l’information sur votre cible.On distingue deux modes pour le footprinting. La reconnaissance passive La reconnaissance active Légalement la reconnaissance passive est tout a fait légale en France, alors que le mode actif lui est déjà considéré […]
Quand l’État se plante complet sur les cyber-rançons
On dit que l’Enfer est pavé de bonnes intentions. Au niveau de l’État on se demande plus s’il n’est pas pavé d’incompétence. Notre cher gouvernement vient d’ouvrir une brèche dans la législation pour le paiement des cyber-rançons par les assureurs. Le texte est pas encore promulgué que les premiers effets s’en font sentir. La France […]
Multiples failles CVE sur Roxy-wi
Roxy-wi est une web interface en python permettant de paramétrer une infrastructure pour une haute disponibilité via haproxy, nginx ou apache. En ce mois de juillet 2022 , nous avons 4 failles de sécurité CVE critiques : CVE-2022-31161 CVE-2022-31137 CVE-2022-31126 CVE-2022-31125 Les versions impactées sont celles < 6.1.1.0 En lire plus sur CVEDETAILS Exemple d […]
OpenCart faille CVE sur le module newsletter
Cliquez ici Opencart a une nouvelle faille de type SQL INJECTION sur le module newsletter en version v3.x. la cyberattaque se fait via le paramètre emez_newsletter_email accessible depuis l’url /index.php?route=extension/module/zemez_newsletter/addNewsletter Procédure Vous aurez besoin de burpsuite et sqlmap . Avec Burpsuite rendez vous dur l url : http://127.0.0.1/index.php?route=extension/module/zemez_newsletter/addNewsletter enregistrer la requête puis avec sqlmap : […]