Generated by All in One SEO Pro v4.9.9, this is an llms.txt file, used by LLMs to index the site. # Vaadata Your Expert Partner in Offensive Security ## Sitemaps - [XML Sitemap](https://www.vaadata.com/fr/sitemap.xml): Contains all public & indexable URLs for this website. ## Articles - [Blog](https://www.vaadata.com/fr/blog/) - [Injection LDAP : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/injection-ldap-principes-exploitations-et-bonnes-pratiques-securite/) - En quoi consiste une injection LDAP ? Cet article présente leur principe, des exemples d’exploitation et les bonnes pratiques sécurité pour se protéger - [Certificate et Public Key Pinning](https://www.vaadata.com/fr/blog/certificate-et-public-key-pinning/) - Que sont le certificate pinning et le Public Key Pinning ? Comment fonctionnent-ils, et qu'apporte-t-ils ? Nous expliquons la chaine de confiance - [Audit de sécurité informatique : ce que vous devez savoir](https://www.vaadata.com/fr/blog/audit-de-securite-informatique-ce-que-vous-devez-savoir/) - Éclaircissons les différents types d’audit de sécurité informatique : organisationnels, analyse technique ou bien les tests d’intrusion. - [RGPD : mesures techniques de sécurité](https://www.vaadata.com/fr/blog/rgpd-mesures-techniques-securite/) - Les principes du RGPD sont connus. Cependant, les mesures techniques à mettre en place restent encore floues. Nous détaillons tous les aspects de sécurité. - [Quel est le bon moment pour réaliser un pentest ?](https://www.vaadata.com/fr/blog/quel-est-le-bon-moment-pour-realiser-un-pentest/) - Dev en cours, migration prévue, refonte à venir... Entre les différentes priorités et contraintes, quel est bon moment pour faire un pentest ? - [Pourquoi externaliser ses tests d’intrusion ?](https://www.vaadata.com/fr/blog/pourquoi-externaliser-ses-tests-intrusion/) - Découvrez pourquoi faire conduire des tests d’intrusion externalisés peut renforcer votre niveau de sécurité et votre image vis à vis de vos clients. - [Comprendre les attaques par port USB](https://www.vaadata.com/fr/blog/comprendre-les-attaques-par-port-usb/) - Quels sont les buts des attaques USB ? Comment sont-elles mises en oeuvre ? Nous vous détaillons des attaques réelles et vous donnons des bonnes pratiques - [Phishing : comment identifier les emails suspects ?](https://www.vaadata.com/fr/blog/phishing-comment-identifier-les-emails-suspects/) - Pour identifier les attaques de phishing, plusieurs éléments sont à analyser : l'objet et le contenu du mail, l'expéditeur, les pièces jointes, les liens. - [Un secret en dur dans Pancake mène à la prise de contrôle de comptes - Bulletin Vaadata](https://www.vaadata.com/fr/blog/un-secret-en-dur-mene-a-la-prise-de-controle-de-comptes/) - Un secret codé en dur utilisé pour signer le cookie de session nous a permis d'en falsifier un valide pour n’importe quel compte de toutes applications Pancake - [2021 web, mobile, IoT cybersecurity statistics - Strengthen your security with a pentest](https://www.vaadata.com/fr/blog/statistiques-cybersecurite-web-mobile-iot-2021-renforcer-votre-securite-avec-pentest/) - How can you prepare for cyberattacks? We selected some current cybersecurity statistics, in order to know the current trends of threats in 2021. - [Social Engineering and Red Teaming: Understanding Threats and Defence Strategies](https://www.vaadata.com/fr/blog/ingenierie-sociale-et-red-teaming-comprendre-les-menaces-et-les-leviers-de-defense/) - Social engineering and Red Teaming: understanding objectives and threats targeting the human factor through concrete scenarios and defence strategies. - [AD CS Security: Understanding and Exploiting ESC Techniques](https://www.vaadata.com/fr/blog/securite-ad-cs-comprendre-et-exploiter-les-techniques-esc/) - This article presents ESC exploitation techniques. We detail our methodology for auditing an AD CS infrastructure, as well as the main vulnerabilities. - [Monitoring Active Directory : analyse logs LDAP et règles ELK](https://www.vaadata.com/fr/blog/monitoring-active-directory-analyse-logs-ldap-et-regles-elk/) - Monitoring Active Directory : cet article vous montre comment transformer vos logs en alertes efficaces : collecte, SACLs, règles ELK pour détecter les attaques - [Active Directory Monitoring: LDAP Log Analysis and ELK Rules](https://www.vaadata.com/fr/blog/monitoring-active-directory-analyse-logs-ldap-et-regles-elk/) - Active Directory Monitoring: this article shows you how to transform your logs into effective alerts: collection, SACLs, ELK rules to detect attacks. - [Ingénierie sociale et Red Teaming : comprendre les menaces et les leviers de défense](https://www.vaadata.com/fr/blog/ingenierie-sociale-et-red-teaming-comprendre-les-menaces-et-les-leviers-de-defense/) - Ingénierie sociale et Red Teaming : comprendre les objectifs, les menaces visant le facteur humain à travers des scénarios concrets et des leviers de défense. - [Pass-the-Hash : principes, variantes et bonnes pratiques](https://www.vaadata.com/fr/blog/pass-the-hash-principes-variantes-et-bonnes-pratiques/) - Cet article détaille le fonctionnement de l’attaque Pass-the-Hash, ses variantes (Pass-the-Ticket, Pass-the-Key et Pass-the-Certificate) et les bonnes pratiques - [What is Pass-the-Hash? Attacks Types and Security Best Practices](https://www.vaadata.com/fr/blog/pass-the-hash-principes-variantes-et-bonnes-pratiques/) - This article details how Pass-the-Hash attacks work, their variants (Pass-the-Ticket, Pass-the-Key and Pass-the-Certificate) and security best practices. - [Injection de requêtes Ransack : analyse et exploitation d’une vulnérabilité ORM](https://www.vaadata.com/fr/blog/injection-de-requetes-ransack-analyse-et-exploitation-dune-vulnerabilite-orm/) - Lors d'un test d'intrusion d'application web, nous avons découvert et exploité une injection Ransack. Ce write-up présente notre méthode et les bonnes pratiques - [Ransack Query Injection: Analysis and Exploitation of an ORM Vulnerability](https://www.vaadata.com/fr/blog/injection-de-requetes-ransack-analyse-et-exploitation-dune-vulnerabilite-orm/) - During a web application penetration test, we discovered and exploited a Ransack injection. This write-up presents our method and recommended fixes. - [JWT (JSON Web Token): Vulnerabilities, Common Attacks and Security Best Practices](https://www.vaadata.com/fr/blog/jwt-json-web-token-vulnerabilites-attaques-courantes-et-bonnes-pratiques-securite/) - This article explains how JWT (JSON Web Token) works. It also details the vulnerabilities, attacks and best practices to secure the Implementation of JWT. - [Nmap, the Tool for Mapping and Assessing Network Security](https://www.vaadata.com/fr/blog/nmap-loutil-pour-cartographier-et-evaluer-la-securite-dun-reseau/) - Nmap is an essential tool for mapping, analysing and auditing a network. This article describes how it works and its key features (port scanning, etc.). - [Understanding Source Code Audit Methodology and Process](https://www.vaadata.com/fr/blog/comprendre-la-methodologie-daudit-de-code-source-dapplication-web/) - What is a source code audit? This article presents the methodology based on the analysis of sources and sinks with concrete examples of vulnerabilities. - [Understanding Active Directory Certificate Services (AD CS)](https://www.vaadata.com/fr/blog/active-directory-certificate-services-ad-cs-principes-et-fonctionnement/) - What is Active Directory Certificate Services (AD CS)? This article explains the principle and operation of AD CS as well as certificate management mechanisms. - [Black Box Exploitation of a Deserialisation Vulnerability](https://www.vaadata.com/fr/blog/exploitation-en-boite-noire-dune-vulnerabilite-de-type-deserialisation/) - Discover a real-world example of black-box exploitation of a PHP deserialisation vulnerability, identified and exploited without access to the source code. - [NetExec, the Tool for Auditing an Internal Network](https://www.vaadata.com/fr/blog/netexec-loutil-pour-auditer-un-reseau-interne/) - NetExec is a key tool used in internal network audits. This article explains how it works & describes its main features and techniques for black/grey box tests - [What is CRLF Injection? Exploitations and Security Tips](https://www.vaadata.com/fr/blog/injection-crlf-principes-exploitations-et-bonnes-pratiques/) - What is CRLF injection? This article describes the principle behind this vulnerability, exploitation scenarios and security best practices to protect against it - [GCP Penetration Testing: Methodology and Use Cases](https://www.vaadata.com/fr/blog/audit-gcp-methodologie-types-de-tests-et-use-cases/) - GCP penetration testing: comprehensive methodology, types of tests, and use cases for assessing the security of your cloud applications and infrastructure. - [Host Header Attacks, Exploitations and Security Tips](https://www.vaadata.com/fr/blog/en-tete-host-attaques-exploitations-et-bonnes-pratiques/) - In this article, we will examine the main vulnerabilities related to the Host header, their possible impacts, and best practices for protecting against them. - [TLPT (Threat-Led Penetration Testing): Objective and Methodology](https://www.vaadata.com/fr/blog/tlpt-threat-led-penetration-testing-objectifs-methodologie-et-enjeux/) - This article explores the principles and objectives of TLPT (Threat-Led Penetration Testing), detailing the methodology and regulatory requirements (DORA). - [Introduction to Burp Suite, the Tool Dedicated to Web Application Security](https://www.vaadata.com/fr/blog/introduction-burp-outil-dedie-securite-plateformes-web/) - Burp is a tool dedicated to web security. In this article, we present the main features (proxy, scanner, intruder and repeater) and key extensions of Burp Suite - [Sqlmap, the Tool for Detecting and Exploiting SQL Injections](https://www.vaadata.com/fr/blog/sqlmap-loutil-pour-identifier-et-exploiter-des-injections-sql/) - Sqlmap is an essential tool for detecting and exploiting all types of SQL injections (SQLi). This article explains how Sqlmap works and its key features. - [Frida, the Tool Dedicated to Mobile Application Security](https://www.vaadata.com/fr/blog/frida-loutil-dedie-a-la-securite-des-applications-mobiles/) - Frida is an essential toolkit for identifying and exploiting vulnerabilities on mobile applications. This article explains how Frida works and its key features. - [Introduction to ZAP, an Open Source Interception Proxy](https://www.vaadata.com/fr/blog/presentation-de-zap-un-proxy-dinterception-open-source/) - ZAP (Zed Attack Proxy) is an interception proxy dedicated to web security testing. This article presents its key features including the vulnerability scanner - [OWASP Top 10 #1: Broken Access Control And Security Tips](https://www.vaadata.com/fr/blog/top-10-owasp-1-securite-et-vulnerabilites-du-controle-dacces/) - This article presents broken access control vulnerabilities through the lens of the OWASP Top 10 and security measures to prevent attacks and exploits. - [Data Encryption and Cryptographic Failures: OWASP Top 10 #2](https://www.vaadata.com/fr/blog/chiffrement-des-donnees-et-defaillances-cryptographiques-top-10-owasp-2/) - In this article, we present common vulnerabilities and exploits related to the lack or absence of encryption in web applications. - [Vulnerable and Outdated Components: OWASP Top 10 #6](https://www.vaadata.com/fr/blog/composants-vulnerables-et-obsoletes-owasp-top-10-6/) - In this article, we present exploitations related to the use of vulnerable and outdated third-party components through the prism of the OWASP Top 10. - [Security Misconfiguration: OWASP Top 10 #5](https://www.vaadata.com/fr/blog/mauvaise-configuration-de-securite-owasp-top-10-5/) - In this article, we take a look at exploits related to security misconfigurations through the prism of the OWASP Top 10. We also detail security best practices. - [Identification and Authentication Failures: OWASP Top 10 #7](https://www.vaadata.com/fr/blog/defaut-didentification-et-dauthentification-top-10-owasp-7/) - This article presents the exploits linked to identification and authentication failures in web applications through the prism of the OWASP Top 10. - [Introduction to Nuclei, an Open Source Vulnerability Scanner](https://www.vaadata.com/fr/blog/nuclei-un-scanner-de-vulnerabilites-open-source/) - Nuclei is an open source vulnerability scanner developed by ProjectDiscovery. This article presents its functionalities, specific features and use cases. - [Black Box Penetration Testing: Objective, Methodology and Use Cases](https://www.vaadata.com/fr/blog/pentest-black-box-objectifs-methodologie-de-tests-et-use-cases/) - What is a black box penetration test? We present the methodology, objectives and use cases of black box testing on a web application and an internal network - [Pentest Black Box : objectifs, méthodologie de tests et use cases](https://www.vaadata.com/fr/blog/pentest-black-box-objectifs-methodologie-de-tests-et-use-cases/) - En quoi consiste un pentest black box ? Nous vous présentons les objectifs, la méthodologie et le déroulement des tests via des use cases d’audit en boite noire - [Authentification Kerberos : principes et fonctionnement](https://www.vaadata.com/fr/blog/authentification-kerberos-principes-et-fonctionnement/) - Dans cet article nous présentons le principe et le fonctionnement de l’authentification Kerberos : acteurs (service, client, KD, tickets, secrets, etc. . - [Kerberoasting : comprendre l'attaque et les mesures de protection](https://www.vaadata.com/fr/blog/kerberoasting-comprendre-lattaque-et-les-mesures-de-protection/) - Qu'est-ce que le Kerberoasting ? Cet article présente le principe et fonctionnement de l'attaque Kerberoast et les bonnes pratiques sécurité pour s'en protéger. - [Nmap, l’outil pour cartographier et évaluer la sécurité d’un réseau](https://www.vaadata.com/fr/blog/nmap-loutil-pour-cartographier-et-evaluer-la-securite-dun-reseau/) - Nmap est un outil essentiel pour cartographier, analyser et auditer un réseau. Cet article présente son fonctionnement et fonctionnalités clés (scan de ports..) - [Active Directory Certificate Services (AD CS) : Principes et Fonctionnement](https://www.vaadata.com/fr/blog/active-directory-certificate-services-ad-cs-principes-et-fonctionnement/) - Cet article présente le principe et le fonctionnement d'AD CS (Active Directory Certificate Services), ainsi que les mécanismes de gestion des certificats - [NetExec, l’outil pour auditer un réseau interne](https://www.vaadata.com/fr/blog/netexec-loutil-pour-auditer-un-reseau-interne/) - NetExec est outil clé utilisé lors d'audits de réseaux internes. Cet article présente son fonctionnement ainsi que ses principales fonctionnalités et techniques - [10 ways to make your web application more secure](https://www.vaadata.com/fr/blog/10-etapes-pour-securiser-son-site-web/) - Here are 10 ways to secure your web application: the 10 things your should have in mind to make you website more secure. - [10 étapes pour sécuriser son site web](https://www.vaadata.com/fr/blog/10-etapes-pour-securiser-son-site-web/) - Les 10 points clé pour s'occuper de la sécurité de son site web, protéger son entreprise et ses clients des hackers. - [Understanding web vulnerabilities in 5 min – Episode #6 – Sensitive Data Exposure](https://www.vaadata.com/fr/blog/comprendre-les-vulnerabilites-web-en-5-min-episode-6-exposition-de-donnees-sensibles/) - Understand web vulnerabilities in a few minutes: In this episode, we'll review "Sensitive data exposure" flaws. - [Comprendre les vulnérabilités web en 5 min – Episode #6 : Exposition de données sensibles](https://www.vaadata.com/fr/blog/comprendre-les-vulnerabilites-web-en-5-min-episode-6-exposition-de-donnees-sensibles/) - Comprendre rapidement les vulnérabilités du web. Dans cet épisode, nous détaillons les failles de type exposition de données sensibles - [What are the risks if my website gets hacked?](https://www.vaadata.com/fr/blog/quels-sont-les-risques-lies-au-piratage-dun-site-web/) - What if your website gets hacked? What will be the direct consequences of the attack, and possible legal implications. - [Concrètement, quels sont les risques liés au piratage d’un site web ?](https://www.vaadata.com/fr/blog/quels-sont-les-risques-lies-au-piratage-dun-site-web/) - Quelles sont les conséquences du piratage d'un site web ? Quel est l'impact direct, et les potentielles suites légales. - [Understanding web vulnerabilities in 5 min – Episode #10 – Unvalidated redirects and forwards](https://www.vaadata.com/fr/blog/comprendre-les-vulnerabilites-web-en-5-min-episode-10-redirections-et-renvois-non-valides/) - Last article of our series dedicated to web application vulnerabilities: redirects and forwards. - [Comprendre les vulnérabilités web en 5 min – Episode #10 – Redirections et renvois non validés](https://www.vaadata.com/fr/blog/comprendre-les-vulnerabilites-web-en-5-min-episode-10-redirections-et-renvois-non-valides/) - Dernier article de notre série sur les failles de sécurité de sites Internet : les renvois et redirections non validés. - [How HTTPS works and how to install it](https://www.vaadata.com/fr/blog/fonctionnement-et-configuration-dhttps/) - How does HTTPS work? How can you install it on your server? - [Fonctionnement et configuration d'HTTPS](https://www.vaadata.com/fr/blog/fonctionnement-et-configuration-dhttps/) - Comment le protocole HTTPS fonctionne-t-il ? Comment installer HTTPS sur son serveur ? - [Web application filters and WAF: why using them?](https://www.vaadata.com/fr/blog/filtres-et-waf-pourquoi-les-utiliser/) - Two kind of protections are available to protect your website against hacker attacks: filters and WAF. How do these protections work and improve security? - [Filtres et WAF : pourquoi les utiliser ?](https://www.vaadata.com/fr/blog/filtres-et-waf-pourquoi-les-utiliser/) - Deux principales méthodes existent pour protéger une application web des attaques : filtres et web application firewall. Comment fonctionnent-elles ? - [The 3 configuration modes for Web Application Firewalls](https://www.vaadata.com/fr/blog/les-3-configurations-des-waf-pour-se-proteger-des-cyber-attaques/) - What are the different configuration modes for web applications firewalls? Blocking, logging attacks, or patching vulnerabilities? - [Les 3 configurations des WAF pour se protéger des cyber-attaques](https://www.vaadata.com/fr/blog/les-3-configurations-des-waf-pour-se-proteger-des-cyber-attaques/) - Utiliser un pare-feu applicatif (WAF) oui, mais pour faire quoi et comment ? Regardons les différentes configurations possibles. - [How often should you conduct a pentest on your website?](https://www.vaadata.com/fr/blog/a-quelle-frequence-faut-il-effectuer-un-test-dintrusion-sur-son-site-web/) - Pentests allow you to evaluate the security of your website or web application. But how often should you perform such testing? - [A quelle fréquence faut-il effectuer un test d’intrusion sur son site web ?](https://www.vaadata.com/fr/blog/a-quelle-frequence-faut-il-effectuer-un-test-dintrusion-sur-son-site-web/) - Les tests d'intrusion permettent de tester la sécurité de son site internet. Mais à quelle fréquence faut-il en effectuer ? - [Secure your website with HTTP headers](https://www.vaadata.com/fr/blog/securiser-votre-site-web-avec-les-headers-http/) - HTTP headers allow you to configure some technical aspects of your website, and some security behaviors of web browsers. Here is the list of these headers. - [Sécurisez votre site web avec les headers HTTP](https://www.vaadata.com/fr/blog/securiser-votre-site-web-avec-les-headers-http/) - Liste des headers HTTP permettant de configurer certains aspects techniques de votre site, et en particulier la sécurité. - [Traditional Firewalls or Web Application Firewalls?](https://www.vaadata.com/fr/blog/firewalls-traditionnels-ou-web-application-firewalls/) - What is the key difference between traditional firewalls and web application firewalls (WAF)? Let's see what their roles are in web security. - [Firewalls traditionnels ou Web Application Firewalls ?](https://www.vaadata.com/fr/blog/firewalls-traditionnels-ou-web-application-firewalls/) - Quelle est la différence entre un firewall traditionnel et un web application firewall (WAF) ? Regardons quels sont leurs rôles dans la sécurité des applications web. - [Choosing the right web application firewall](https://www.vaadata.com/fr/blog/choisir-le-bon-web-application-firewall/) - Web Application Firewalls are an excellent way to protect web applications. But how do you choose the one that fits your infrastructure and needs? - [Choisir le bon web application firewall](https://www.vaadata.com/fr/blog/choisir-le-bon-web-application-firewall/) - Un web application firewall est un excellent moyen de protéger ses applications web. Mais comment choisir celui qui conviendra à votre infrastructure et vos besoins ? - [How 2 factor authentication works and how to implement it](https://www.vaadata.com/fr/blog/fonctionnement-et-configuration-de-lauthentification-2-facteurs/) - Statistics show that authentication is a key element to protect on web applications. Here is how to protect your security with a two-factor authentication (2FA) - [Fonctionnement et configuration de l’authentification 2 facteurs](https://www.vaadata.com/fr/blog/fonctionnement-et-configuration-de-lauthentification-2-facteurs/) - Les statistiques montrent que l'authentification est un élément clé à protéger. Voici comment renforcer sa sécurité avec une authentification à 2 facteurs (2FA) - [What are Business Logic Flaws on Web Applications?](https://www.vaadata.com/fr/blog/que-sont-les-failles-logiques-sur-les-applications-web/) - How to detect and prevent business logic flaws? We're explaning how they work and give examples that we encountered during penetration tests. - [Qu'est-ce qu'une faille logique sur les applications web ?](https://www.vaadata.com/fr/blog/que-sont-les-failles-logiques-sur-les-applications-web/) - Comment détecter et éviter les failles logiques ? Nous détaillons leur fonctionnement et donnons des exemples que nous avons rencontré lors de test d'intrusion. - [How to Protect Your Website : PHP Security Tips and Tricks #1](https://www.vaadata.com/fr/blog/bonnes-pratiques-de-securite-pour-php-partie-1-proteger-votre-site/) - This article gives you a list of security measures to implement with your PHP website. Part 1: Configuration, code organization and data filtering. - [Protéger votre site : Bonnes pratiques de sécurité pour PHP #1](https://www.vaadata.com/fr/blog/bonnes-pratiques-de-securite-pour-php-partie-1-proteger-votre-site/) - Cet article vous donne les bonnes pratiques de sécurité à implémenter sur PHP pour protéger vos sites. Partie 1 : configuration, code et filtrage - [How to Protect Your Website: PHP Security Tips and Tricks #2](https://www.vaadata.com/fr/blog/proteger-votre-site-bonnes-pratiques-de-securite-pour-php-2/) - This article gives you a list of security measures to implement with your PHP website. Part 2: Known and Classic Attacks - Injections, Session Hijacking, XXS - [Protéger votre site : Bonnes pratiques de sécurité pour PHP #2](https://www.vaadata.com/fr/blog/proteger-votre-site-bonnes-pratiques-de-securite-pour-php-2/) - Cet article vous donne une liste de bonnes pratiques de sécurité à implémenter sur PHP pour protéger vos sites. Chapitre 2 : Attaques classiques - [How to Protect Your Website : PHP Security Tips and Tricks #3](https://www.vaadata.com/fr/blog/proteger-votre-site-bonnes-pratiques-de-securite-pour-php-3/) - This article gives you a list of security measures to implement with your PHP website. Part 3: File uploads, CRSF, obscurity, cookies - [Protéger votre site : Bonnes pratiques de sécurité pour PHP #3](https://www.vaadata.com/fr/blog/proteger-votre-site-bonnes-pratiques-de-securite-pour-php-3/) - Cet article donne une liste de bonnes pratiques de sécurité à implémenter sur PHP pour protéger vos sites. Chapitre 3 : cookies, uploads, CRSF, obscurité - [Why should you conduct outsourced penetration testing on your apps?](https://www.vaadata.com/fr/blog/pourquoi-externaliser-ses-tests-intrusion/) - In this article you will find out why conducting outsourced penetration testing will strengthen your application security level and your brand image. - [Mobile application security explained simply - Episode #1](https://www.vaadata.com/fr/blog/la-securite-des-applications-mobiles-expliquee-simplement-partie-1/) - Mobile application security through simple examples. The number one threat is on the server side. Let's see what is the risk and how to prevent it. - [La sécurité des applications mobiles démystifiée - Episode #1](https://www.vaadata.com/fr/blog/la-securite-des-applications-mobiles-expliquee-simplement-partie-1/) - La sécurité mobile via des exemples simples. La menace numéro 1 est du côté serveur. Regardons quels sont les risques et comment s'en prémunir. - [Mobile application security explained simply – Episode #2](https://www.vaadata.com/fr/blog/la-securite-des-applications-mobiles-demystifiee-episode-2/) - Mobile application security through simple examples - episode 2. What is insecure data storage? Let's see what the risk is and how to prevent it. - [La sécurité des applications mobiles démystifiée – Episode #2](https://www.vaadata.com/fr/blog/la-securite-des-applications-mobiles-demystifiee-episode-2/) - La sécurité mobile via des exemples simples. Episode #2 : Stockage de données non sécurisé. Regardons quels sont les risques et comment se protéger. - [Mobile application security explained simply – Episode #3](https://www.vaadata.com/fr/blog/la-securite-des-applications-mobiles-demystifiee-episode-3/) - Mobile application security through simple examples - episode 3. Transport layer vulnerabilities. Let’s see what the risk is and how to prevent it. - [La sécurité des applications mobiles démystifiée – Episode #3](https://www.vaadata.com/fr/blog/la-securite-des-applications-mobiles-demystifiee-episode-3/) - La sécurité mobile via des exemples simples. Episode #3 : Echanges de données non sécurisés. Regardons quels sont les risques et comment se protéger. - [Exploiting google dorks to strengthen your security](https://www.vaadata.com/fr/blog/exploiter-google-dorks-renforcer-securite/) - Googles dorks are advanced search operators that allow you to better target your research and can enable to identify vulnerabilities, let's see how. - [Exploiter les google dorks pour renforcer sa sécurité](https://www.vaadata.com/fr/blog/exploiter-google-dorks-renforcer-securite/) - Les google dorks sont des opérateurs de recherche pour mieux cibler les recherches. Ils permettent même de découvrir des vulnérabilités, voyons comment. - [User enumerations on web applications](https://www.vaadata.com/fr/blog/enumerations-utilisateurs-sur-les-applications-web/) - User enumerations are sometimes impacting vulnerabilities, but are quite easy to fix. We detail here a few concrete examples on web applications. - [Enumérations d’utilisateurs sur les applications Web](https://www.vaadata.com/fr/blog/enumerations-utilisateurs-sur-les-applications-web/) - Les énumérations d'utilisateurs sont des vulnérabilités parfois impactantes mais faciles à corriger. Nous détaillons ici plusieurs cas concrets d'applis web. - [Phishing: How to identify suspicious emails?](https://www.vaadata.com/fr/blog/phishing-comment-identifier-les-emails-suspects/) - Phishing has become tricky even for experienced users. To identify phishing attacks, different elements are to analyse: object, sender, attached files, links. - [How to Assess Security Flaws Risk?](https://www.vaadata.com/fr/blog/comment-evaluer-les-risques-dune-faille-de-securite/) - After a security audit, flaws have been found. Critical, important, medium: do you know how the severity of the risks is assessed? - [Comment évaluer les risques d'une faille de sécurité ?](https://www.vaadata.com/fr/blog/comment-evaluer-les-risques-dune-faille-de-securite/) - A la suite d'un audit de sécurité, des failles ont été trouvées. Faille critique, importante, moyenne : savez-vous comment cela est établi ? - [GDPR: Technical Security Measures](https://www.vaadata.com/fr/blog/rgpd-mesures-techniques-securite/) - The principles of the GDPR are known, however the main technical measures are still not so clear. We detail technical security aspects of the GDPR. - [Recon Audit: Which Information About Your Company Can Be Found Online?](https://www.vaadata.com/fr/blog/audit-de-reconnaissance-quelles-informations-sur-votre-entreprise-peuvent-etre-trouvees-sur-internet/) - A recon audit allows to map a digital footprint of a company, in order to then control and limit visible information from outside the organisation. - [Audit de reconnaissance : quelles informations sur votre entreprise peuvent être trouvées sur internet ?](https://www.vaadata.com/fr/blog/audit-de-reconnaissance-quelles-informations-sur-votre-entreprise-peuvent-etre-trouvees-sur-internet/) - Un audit de reconnaissance permet de cartographier l'empreinte numérique d'une entreprise, pour ensuite limiter les informations visibles depuis l'extérieur. - [7 Questions to Ask Yourself Before Doing a Penetration Test](https://www.vaadata.com/fr/blog/7-questions-avant-de-faire-un-test-dintrusion-pentest/) - Security is essential. You want to run a penetration test (pentest) on your solution. Here are 7 questions to help you get the most out of a penetration test. - [7 questions à se poser avant de faire un test d’intrusion (pentest)](https://www.vaadata.com/fr/blog/7-questions-avant-de-faire-un-test-dintrusion-pentest/) - La sécurité, c’est primordial. Vous voulez faire un test d’intrusion (pentest). Voici 7 questions pour vous aider à obtenir le meilleur d’un test d’intrusion. - [Understanding the Web Vulnerability Server-Side Request Forgery (1/2)](https://www.vaadata.com/fr/blog/comprendre-la-vulnerabilite-web-server-side-request-forgery-1/) - We often think that a firewall enough restrictive protects the access to non-open services. Bur we are wrong and that’s what we're going to see with the SSRF. - [Comprendre la vulnérabilité web Server-Side Request Forgery (1/2)](https://www.vaadata.com/fr/blog/comprendre-la-vulnerabilite-web-server-side-request-forgery-1/) - Nous pensons souvent qu’un pare-feu restrictif protège l’accès aux services non ouverts. Nous avons tort et allons le voir avec la Server-Side Request Forgery - [Administration Interfaces: The Underestimated Weakness](https://www.vaadata.com/fr/blog/interfaces-dadministration-la-faiblesse-sous-estimee/) - What are the risks with a back-office? - [Interfaces d’administration : la faiblesse sous-estimée](https://www.vaadata.com/fr/blog/interfaces-dadministration-la-faiblesse-sous-estimee/) - Quels sont les risques d'un back-office ? - [Protect yourself from CSRF attacks with the SameSite cookie attribute](https://www.vaadata.com/fr/blog/se-proteger-des-attaques-csrf-avec-instruction-samesite-sur-les-cookies/) - To protect yourself from CSRF attacks, there is the SameSite attribute on cookies. Let's see in detail what is it and how you can use it. - [Se protéger des attaques CSRF avec l’instruction SameSite sur les cookies](https://www.vaadata.com/fr/blog/se-proteger-des-attaques-csrf-avec-instruction-samesite-sur-les-cookies/) - Pour se protéger des attaques CSRF, il existe l'instruction SameSite sur les cookies. Qu'est-ce que c'est et comment l'utiliser ? - [What R.O.I for a Security Audit?](https://www.vaadata.com/fr/blog/quel-r-o-i-pour-un-audit-de-securite/) - The ROI of a security audit is complex to evaluate. But, we give you 4 keys to demonstrate the financial interest of a penetration test - [Quel R.O.I pour un audit de sécurité ?](https://www.vaadata.com/fr/blog/quel-r-o-i-pour-un-audit-de-securite/) - Le ROI d’un audit de sécurité est complexe à évaluer. Mais, nous vous donnons 4 clés pour démontrer l’intérêt financier d’un test d'intrusion - [What does a penetration test vs a vulnerability scanner bring?](https://www.vaadata.com/fr/blog/pentest-vs-un-scanner-de-vulnerabilites/) - A penetration test (pentest) and a vulnerability scanner are two different tools in a security strategy. What are their characteristics? - [Qu'apporte un pentest vs un scanner de vulnérabilités ?](https://www.vaadata.com/fr/blog/pentest-vs-un-scanner-de-vulnerabilites/) - Un pentest (test d'intrusion) et un scanner de vulnérabilités sont deux outils différents dans une stratégie de sécurité. Quelles sont leurs caractéristiques ? - [Social Engineering: Experience feedback!](https://www.vaadata.com/fr/blog/ingenierie-sociale-retours-dexperience/) - We have been conducting social engineering attacks for around 3 years, and we learned from it. Here are our lessons from our experience. - [Ingénierie sociale : Retours d’expérience !](https://www.vaadata.com/fr/blog/ingenierie-sociale-retours-dexperience/) - Nous conduisons régulièrement des pentests d'ingénierie sociale. Nous partageons les retours de nos clients et les leçons que nous en avons tirées. - [Pentest IoT: 10 hardware & software tests](https://www.vaadata.com/fr/blog/pentest-iot-10-types-de-tests-hardware-et-software/) - Here are ten concrete examples of hardware and software tests conducted during a security audit or pentest of a connected device. - [Pentest IoT : 10 types de tests hardware et software](https://www.vaadata.com/fr/blog/pentest-iot-10-types-de-tests-hardware-et-software/) - Voici 10 types de tests, expliqués concrètement, qui sont conduits lors d'un audit de sécurité ou pentest d’un objet connecté. - [Understanding USB Attacks](https://www.vaadata.com/fr/blog/comprendre-les-attaques-par-port-usb/) - What are the goals of USB attacks? How are these attacks implemented? We present you some attacks that happened and we give the best practices to reduce risks - [Internal Pentest: What You Need to Know About this Type of Security Audit](https://www.vaadata.com/fr/blog/pentest-interne-tout-savoir-sur-ce-type-d-audit-de-securite/) - An internal pentest enables you to measure the risk for your internal network to be compromised by simulating attacks from the inside - [Pentest interne : tout ce que vous devez savoir sur ce type d’audit de sécurité](https://www.vaadata.com/fr/blog/pentest-interne-tout-savoir-sur-ce-type-d-audit-de-securite/) - Le pentest interne permet de mesurer le risque de compromission de votre réseau interne en simulant des attaques perpétrées depuis l'intérieur - [Bluetooth Low Energy & Security of Connected Devices](https://www.vaadata.com/fr/blog/bluetooth-low-energy-securite-objets-connectes/) - Alternative to classic Bluetooth, Bluetooth Low Energy is chosen increasingly for the IoT. The implementation of BLE has to be strict to prevent vulnerabilities - [Bluetooth Low Energy & sécurité des objets connectés](https://www.vaadata.com/fr/blog/bluetooth-low-energy-securite-objets-connectes/) - Le Bluetooth Low Energy est souvent choisi pour l’IoT. Son implémentation doit être rigoureuse pour assurer la sécurité des objets connectés. - [Burp’s Functionalities and Extensions to Gain Efficiency](https://www.vaadata.com/fr/blog/fonctionnalites-extensions-burp-gagner-en-efficacite/) - We present you some extensions and functionalities of Burp -for testing user rights, for doing custom scans, etc.- that can strengthen your efficacy. - [Fonctionnalités et extensions de Burp pour gagner en efficacité](https://www.vaadata.com/fr/blog/fonctionnalites-extensions-burp-gagner-en-efficacite/) - Nous vous présentons des extensions et fonctionnalités de Burp (pour les tests de droits, faire des scans personnalisés, etc.) pour renforcer votre efficacité. - [Exploiting the SSRF vulnerability (2/2)](https://www.vaadata.com/fr/blog/exploiter-la-vulnerabilite-ssrf-2-2/) - We will see how to exploit SSRF with various methods for manually baypassing filters and SSRFMap, a semi-automatic operating tool. - [Exploiter la vulnérabilité SSRF (2/2)](https://www.vaadata.com/fr/blog/exploiter-la-vulnerabilite-ssrf-2-2/) - Nous allons voir comment exploiter les SSRF avec différentes méthodes de contournement manuel de filtres et SSRFMap, un outil d’exploitation semi-automatique. - [Should you do a demonstration of your solution to pentesters before a penetration test?](https://www.vaadata.com/fr/blog/faire-une-demo-produit-avant-un-test-d-intrusion/) - Before starting a penetration test, should you present your product or solution to pentesters? It all depends on your situation and on your objectives! - [Faut-il faire une démo de sa solution aux pentesters avant un test d'intrusion ?](https://www.vaadata.com/fr/blog/faire-une-demo-produit-avant-un-test-d-intrusion/) - Avant de réaliser un test d’intrusion (pentest), faut-il présenter votre produit aux pentesters ? Tout dépend de votre situation et de vos objectifs ! - [How to optimise your use of Metasploit](https://www.vaadata.com/fr/blog/comment-optimiser-utilisation-de-metasploit/) - The Metasploit framework can be used in a more advanced and precise way in order to become the main tool during an information system pentest. - [Comment optimiser son utilisation de Metasploit](https://www.vaadata.com/fr/blog/comment-optimiser-utilisation-de-metasploit/) - Le framework Metasploit peut être utilisé de manière plus poussée et plus précise afin de devenir l’outil principal de pentest d’un système d’information. - [Certificate and Public Key Pinning](https://www.vaadata.com/fr/blog/certificate-et-public-key-pinning/) - What are certificate pinning and Public Key Pinning? How do they work, and what does they bring? We're explaining the chain of trust - [Logging & Monitoring: definitions and best practices](https://www.vaadata.com/fr/blog/logging-monitoring-definitions-et-bonnes-pratiques/) - The importance of good logging and monitoring is often underestimated, although it is a crucial element for the security of an information system. - [Logging & Monitoring : définitions et bonnes pratiques](https://www.vaadata.com/fr/blog/logging-monitoring-definitions-et-bonnes-pratiques/) - L'importance d'un bon logging et monitoring est souvent sous-évaluée, alors qu'il s'agit d'un élément crucial pour la sécurité d'un SI. - [Livre blanc : Sécurité des technologies sans fil de l'IoT](https://www.vaadata.com/fr/blog/livre-blanc-securite-technologies-sans-fil-iot/) - 25 pages pour connaître les vulnérabilités courantes et exploitables sur les technologies sans fil de l’IoT, ainsi que les moyens pour les contrer. - [White paper: Security of IoT Wireless Technologies](https://www.vaadata.com/fr/blog/livre-blanc-securite-technologies-sans-fil-iot/) - 25 pages to know the existing and exploitable vulnerabilities on these technologies, as well as the means to counter or reduce the risks. - [Should You Perform a Pentest On a Production Environment?](https://www.vaadata.com/fr/blog/doit-on-realiser-un-pentest-sur-son-environnement-de-production/) - You wish to perform a penetration test (pentest). Should it target your production or test environment? We're going through the pros and cons - [Doit-on réaliser un pentest sur un environnement de production ?](https://www.vaadata.com/fr/blog/doit-on-realiser-un-pentest-sur-son-environnement-de-production/) - Vous souhaitez réaliser un pentest (test d'intrusion). Doit-il cibler votre environnement de production ou de test ? Quels avantages ? Quels inconvénients ? - [How to Know Your Attack Surface (And to Reduce it)](https://www.vaadata.com/fr/blog/comment-connaitre-sa-surface-attaque-et-la-reduire/) - An attack surface consists of all elements that might be attacked to cause a security incident. Knowing it is the first step to secure it. - [Comment connaitre sa surface d’attaque (et la réduire)](https://www.vaadata.com/fr/blog/comment-connaitre-sa-surface-attaque-et-la-reduire/) - La surface d’attaque est l’ensemble des éléments qui peuvent être attaqués pour provoquer un incident de sécurité. La connaitre est le premier pas pour la protéger. - [Faire un pentest pour moins de 1500€](https://www.vaadata.com/fr/blog/pentest-pour-moins-de-1500e/) - Il est possible de faire un premier pentest (test d'intrusion) pour moins de 1500€, afin de débloquer une situation. - [Doing a Pentest for Less Than €1,500](https://www.vaadata.com/fr/blog/pentest-pour-moins-de-1500e/) - Without encouraging to choose degraded services, it is possible to do a "mini" pentest for less than €1,500 in order to break the deadlock. - [Penetration Testing: Approach, Methodology, Types of Tests and Rates](https://www.vaadata.com/fr/blog/test-dintrusion-approche-methodologie-types-de-tests-et-prix/) - Everything you need to know about penetration testing: issues, security audit approaches, methodology, types of tests performed, rates - [Test d’intrusion : approche, méthodologie, types de tests et prix](https://www.vaadata.com/fr/blog/test-dintrusion-approche-methodologie-types-de-tests-et-prix/) - Tout savoir sur les tests d'intrusion : enjeux, analyse des diverses approches d'audit de sécurité, méthodologie, types de tests effectués, prix... - [Comment stocker les mots de passe de manière sécurisée dans une base de données ?](https://www.vaadata.com/fr/blog/comment-stocker-mots-de-passe-de-maniere-securisee-base-de-donnees/) - Quels sont les principes et les bonnes pratiques à suivre pour stocker de manière sécurisée les mots de passe en base de données ? - [How to Securely Store Passwords in Database?](https://www.vaadata.com/fr/blog/comment-stocker-mots-de-passe-de-maniere-securisee-base-de-donnees/) - What are the principles and the best practices to follow to store securely passwords in database? - [IT Security Audit: What You Need to Know](https://www.vaadata.com/fr/blog/audit-de-securite-informatique-ce-que-vous-devez-savoir/) - There are several types of IT security audits: organizational audits, technical audits and penetration testing. - [Sécurité et durée de validité des certificats HTTPS](https://www.vaadata.com/fr/blog/duree-validite-certificats-https/) - Apple a annoncé qu'ils autoriseront uniquement les certificats SSL/TLS de max. 13 mois. Mais pourquoi passer à une durée de validité plus courte ? Qu'est-ce que cela apporte à la sécurité ? - [Security and HTTPS Certificate Validity](https://www.vaadata.com/fr/blog/duree-validite-certificats-https/) - Apple has announced that they only will allow SSL/TLS certificates of max. 13 months. But why moving to a shorter validity? What does it bring to security? - [When is the right time to perform a pentest?](https://www.vaadata.com/fr/blog/quel-est-le-bon-moment-pour-realiser-un-pentest/) - Coding in progress, migration planned, upcoming refactoring... Given the various constraints and priorities, when is the right time to perform a pentest? - [Pentest pour les Fintech : quels sont les principaux enjeux ?](https://www.vaadata.com/fr/blog/pentest-pour-les-fintech-quels-sont-les-principaux-enjeux/) - Sécurité de la brique de paiement, des workflows et des données, découvrez les principaux risques et les priorités de pentest des Fintech - [Penetration Testing for Fintech companies: what are the main challenges?](https://www.vaadata.com/fr/blog/pentest-pour-les-fintech-quels-sont-les-principaux-enjeux/) - Payment solution, workflows and data security, discover the main risks and pentest priorities for Fintech companies - [Cyber Security Challenges in the Healthcare Industry](https://www.vaadata.com/fr/blog/enjeux-cybersecurite-secteur-sante/) - What are the cybersecurity challenges that we frequently encounter and that can be points of attention during a pentest ? - [Enjeux cybersécurité pour le secteur de la santé](https://www.vaadata.com/fr/blog/enjeux-cybersecurite-secteur-sante/) - Quels sont les enjeux de cybersécurité que nous rencontrons fréquemment et qui peuvent être des points d’attention lors d’un audit de sécurité ? - [Understanding web vulnerabilities in 5 min – Episode #11 – XXE](https://www.vaadata.com/fr/blog/comprendre-les-vulnerabilites-web-en-5-min-episode-11-xxe/) - An XXE vulnerability affects programs interpreting XML. What are the possible impact ? How to prevent it? - [Comprendre les vulnérabilités web en 5 min – épisode #11 : XXE](https://www.vaadata.com/fr/blog/comprendre-les-vulnerabilites-web-en-5-min-episode-11-xxe/) - La vulnérabilité XXE (XML External Entities) touche les programmes interprétant le XML. Quel impact peut-elle avoir et comment s'en prévenir ? - [Pancake Hardcoded Secret Leads to Account Takeover - Vaadata Advisory](https://www.vaadata.com/fr/blog/un-secret-en-dur-mene-a-la-prise-de-controle-de-comptes/) - A shared hardcoded secret used to sign the session cookie allowed us to forge a valid session cookie for any account for Pancake applications before 4.13.29. - [How To Define The Scope Of A Pentest?](https://www.vaadata.com/fr/blog/comment-definir-le-scope-pentest/) - The aim of this white paper is to guide you in the definition of a pentest scope and strategy. - [Comment définir le scope d’un pentest ?](https://www.vaadata.com/fr/blog/comment-definir-le-scope-pentest/) - L’objectif de ce livre blanc est de vous fournir différentes informations afin de définir un scope et une stratégie de pentest. - [Phishing Analysis: 8 Psychological Drivers](https://www.vaadata.com/fr/blog/analyse-phishing-8-ressorts-psychologiques/) - A phishing email relies on human psychological drivers to first get the opening of the email and then to push to click. Which are they? How to identify them? - [Analyse d'un phishing : 8 ressorts psychologiques](https://www.vaadata.com/fr/blog/analyse-phishing-8-ressorts-psychologiques/) - Un mail de phishing s’appuie sur des ressorts psychologiques humains pour d’abord inciter à l’ouverture du mail et pour ensuite pousser au clic - [Cybersecurity: What Risks if your Website is Based on a CMS?](https://www.vaadata.com/fr/blog/cybersecurite-quels-risques-si-votre-site-web-repose-sur-un-cms/) - Has your website been developed using a CMS? Wordpress, Joomla, Drupal... provide great help for building websites. But what are the risks of cyberattacks? - [Cybersécurité : quels risques si votre site web repose sur un CMS ?](https://www.vaadata.com/fr/blog/cybersecurite-quels-risques-si-votre-site-web-repose-sur-un-cms/) - Les CMS tels que Wordpress, Drupal, etc. permettent de produire facilement des sites. Mais quels sont les risques de cyberattaques et les points de vigilance ? - [Test d’intrusion en boite noire, boite grise ou boite blanche ? 3 options pour un audit de sécurité](https://www.vaadata.com/fr/blog/test-intrusion-boite-noire-grise-blanche-3-options/) - Tout savoir sur le Pentest Black box (boite noire), Grey box (boite grise) ou White box (boite blanche): 3 approches pour un test d'intrusion sur toute cible. - [Black, Grey or White Box Penetration Test? 3 Options for a Security Audit](https://www.vaadata.com/fr/blog/test-intrusion-boite-noire-grise-blanche-3-options/) - All you need to know about Black box, Grey box or White box Penetration Testing: 3 approaches for a pentest on any target. - [9 Misconceptions about Web and Mobile Applications Security](https://www.vaadata.com/fr/blog/9-idees-recues-securite-applications-web-mobiles/) - Even though it is a crucial topic to conduct a business in good conditions, some misconceptions are still present. Here are the 9 we most often encountered - [9 idées reçues sur la sécurité des applications web et mobiles](https://www.vaadata.com/fr/blog/9-idees-recues-securite-applications-web-mobiles/) - Certaines idées reçues sur la sécurité des apps web et mobile sont encore présentes, alors qu'il s'agit d'un sujet essentiel pour les activités des entreprises. - [Cloud Security: Risks and Best Practices](https://www.vaadata.com/fr/blog/securite-du-cloud-quels-sont-les-risques-et-les-bonnes-pratiques/) - Discover the main risks related to the use of Cloud Computing, and the best practices for a secure cloud: logging and monitoring, IAC access, etc. - [Sécurité du cloud : quels sont les risques et les bonnes pratiques ?](https://www.vaadata.com/fr/blog/securite-du-cloud-quels-sont-les-risques-et-les-bonnes-pratiques/) - Découvrez les principaux risques liés à l'utilisation du Cloud Computing, et les bonnes pratiques pour un cloud sécurisé : logging et monitoring, IAC accès, etc - [Comment renforcer la sécurité de vos applications web pour contrer les attaques les plus courantes ?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-vos-applications-web-pour-contrer-les-attaques-les-plus-courantes/) - Tout savoir sur les vulnérabilités et attaques courantes des applications web ainsi que les bonnes pratiques de sécurité à mettre en place pour se protéger - [How to Strengthen the Security of Your Web Applications to Counter the Most Common Attacks?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-vos-applications-web-pour-contrer-les-attaques-les-plus-courantes/) - All you need to know about common vulnerabilities and attacks on web applications as well as the best security practices to implement to protect yourself. - [Comment renforcer la sécurité de votre infrastructure réseau pour contrer les attaques les plus courantes ?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-votre-infrastructure-reseau-pour-contrer-les-attaques-les-plus-courantes/) - Tout savoir sur les vulnérabilités et attaques courantes de l'infrastructure réseau ainsi que les bonnes pratiques sécurité à mettre en place pour se protéger - [How to Strengthen the Security of Your Network Infrastructure to counter the Most Common Attacks?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-votre-infrastructure-reseau-pour-contrer-les-attaques-les-plus-courantes/) - All you need to know about common vulnerabilities and attacks on the network infrastructure as well as the security practices to implement to protect yourself. - [Security of e-commerce websites: what are the priorities for a pentest?](https://www.vaadata.com/fr/blog/securite-des-sites-e-commerce-quelles-priorites-pour-un-test-dintrusion/) - Carrying out pentests on e-commerce websites helps to reinforce security. As there are many issues at stake, it is necessary to establish priorities. - [Sécurité des sites e-commerce : quelles priorités pour un test d’intrusion ?](https://www.vaadata.com/fr/blog/securite-des-sites-e-commerce-quelles-priorites-pour-un-test-dintrusion/) - Réaliser des tests d’intrusion de sites e-commerce permet de renforcer la sécurité. Les enjeux étant multiples, il est nécessaire d’établir des priorités. - [Are your Corporate Data and Sensitive Documents on the Dark Web?](https://www.vaadata.com/fr/blog/vos-donnees-professionnelles-et-documents-sensibles-sont-ils-sur-le-dark-web/) - The dark web is a huge marketplace. How to identify corporate data leaks on the dark web? What actions can be taken to reduce the risks of data leaks? - [Vos données professionnelles et documents sensibles sont-ils sur le dark web ?](https://www.vaadata.com/fr/blog/vos-donnees-professionnelles-et-documents-sensibles-sont-ils-sur-le-dark-web/) - Le dark web est une immense marketplace. Comment identifier des fuites de données professionnelles sur le dark web? Quelles actions préventives mettre en place? - [Pentest or Bug Bounty: Which approach to choose for your security tests?](https://www.vaadata.com/fr/blog/pentest-bug-bounty-quelle-approche-choisir-pour-vos-tests-de-securite/) - Penetration test or bug bounty program? What are the differences? How do you choose between them? We present you nine main criteria to consider - [Pentest ou bug bounty : quelle approche choisir pour vos tests de sécurité ?](https://www.vaadata.com/fr/blog/pentest-bug-bounty-quelle-approche-choisir-pour-vos-tests-de-securite/) - Pentest ou bug bounty: quelles différences entre ces 2 approches ? Nous présentons les critères à prendre en compte dans votre réflexion. - [Security certifications: What can you require from pentest providers and what can you get after a pentest?](https://www.vaadata.com/fr/blog/certifications-lesquelles-exiger-des-pentesters-et-lesquelles-pouvez-vous-obtenir-suite-audit-de-securite/) - CREST, OSCP, CEH… Should you require certifications from your pentest providers? And which certifications can you get after a penetration test? - [Certifications : lesquelles pouvez-vous exiger des pentesters et lesquelles pouvez-vous obtenir suite à un audit de sécurité ?](https://www.vaadata.com/fr/blog/certifications-lesquelles-exiger-des-pentesters-et-lesquelles-pouvez-vous-obtenir-suite-audit-de-securite/) - PASSI, CREST, OSCP, CEH… Faut-il faire un pentest avec un prestataire ou des pentesters certifiés ? Et quelles certifications pouvez-vous obtenir ensuite ? - [Comment renforcer la sécurité de vos applications mobiles pour contrer les attaques les plus courantes ?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-vos-applications-mobiles-pour-contrer-les-attaques-les-plus-courantes/) - Tout savoir sur les vulnérabilités et attaques courantes des applications mobiles ainsi que les bonnes pratiques de sécurité à mettre en place pour se protéger - [How to Strengthen the Security of Your Mobile Applications to Counter the Most Common Attacks?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-vos-applications-mobiles-pour-contrer-les-attaques-les-plus-courantes/) - All you need to know about common vulnerabilities and attacks on mobile applications as well as the best security practices to implement to protect yourself. - [Pentest d’application SaaS : Quels sont les principaux enjeux de sécurité ?](https://www.vaadata.com/fr/blog/pentest-application-saas-quels-sont-les-principaux-enjeux-de-securite/) - Un pentest permet de valider et de renforcer la sécurité d’une application SaaS. Quels sont les principaux enjeux lors d’un pentest ? - [SaaS application pentest: What are the main security challenges?](https://www.vaadata.com/fr/blog/pentest-application-saas-quels-sont-les-principaux-enjeux-de-securite/) - A pentest allows to validate and strengthen a SaaS application security. Here are the priorities during a penetration test, according to our experience. - [Why testing insider threats during a pentest is important?](https://www.vaadata.com/fr/blog/pourquoi-il-est-important-de-tester-la-menace-interne-lors-dun-pentest/) - Testing and preventing insider threats is essential in any cybersecurity strategy. And penetration testing is one of the most effective tools - [Pourquoi est-il important de tester la menace interne lors d’un pentest ?](https://www.vaadata.com/fr/blog/pourquoi-il-est-important-de-tester-la-menace-interne-lors-dun-pentest/) - Tester et prévenir la menace interne est indispensable dans toute démarche cybersécurité. Et le pentest permet d'identifier l’impact d’une attaque interne - [What security needs and what type of pentest for a startup?](https://www.vaadata.com/fr/blog/quels-besoins-securite-et-quel-type-de-pentest-pour-startup/) - What are the security requests from startups' clients? How can a penetration test be tailored for startups? What's the budget for a pentest? - [Quels besoins de sécurité et quel type de pentest pour une startup ?](https://www.vaadata.com/fr/blog/quels-besoins-securite-et-quel-type-de-pentest-pour-startup/) - Quelles sont les demandes sécurité des clients de startups ? Comment un pentest peut être adapté aux startups ? Quel est le budget d'un pentest ? - [Statistiques cybersécurité web, mobile, IoT 2021 — Renforcer votre sécurité avec un pentest](https://www.vaadata.com/fr/blog/statistiques-cybersecurite-web-mobile-iot-2021-renforcer-votre-securite-avec-pentest/) - Voici une sélection de statistiques actuelles de cybersécurité, afin de connaitre les tendances actuelles des menaces en 2021. - [Phishing : comment se protéger du spoofing d’email ?](https://www.vaadata.com/fr/blog/phishing-comment-se-proteger-spoofing-email/) - Utilisé pour le phishing, le spoofing d’email est redoutable. Pour s'en protéger, trois solutions techniques sont à mettre en place : SPF, DKIM et DMARC. - [Phishing: how to prevent email spoofing?](https://www.vaadata.com/fr/blog/phishing-comment-se-proteger-spoofing-email/) - Used for phishing, email spoofing is terribly tricky. To counter it, there are three technical solutions to install to prevent it: SPF, DKIM and DMARC. - [Statistiques de pentest et failles les plus fréquentes](https://www.vaadata.com/fr/blog/statistiques-de-pentest-et-failles-les-plus-frequentes/) - Nous vous partageons les statistiques de nos pentests menés en 2020 et analysons les 3 vulnérabilités les plus fréquemment trouvées. - [Pentest statistics and most frequent vulnerabilities](https://www.vaadata.com/fr/blog/statistiques-de-pentest-et-failles-les-plus-frequentes/) - Today, we're sharing our statistics of the pentests we performed in 2020 and analyse the 3 most frequently found vulnerabilities. - [Comment sécuriser les systèmes d’authentification, de gestion de sessions et de contrôle d’accès de vos applications web ?](https://www.vaadata.com/fr/blog/comment-securiser-les-systemes-dauthentification-de-gestion-de-sessions-et-de-controle-dacces-de-vos-applications-web/) - Connaitre toutes les bonnes pratiques pour sécuriser les systèmes d’authentification, de gestion de sessions et de contrôle d’accès de vos applications web. - [How to secure authentication, session management and access control systems of your web applications?](https://www.vaadata.com/fr/blog/comment-securiser-les-systemes-dauthentification-de-gestion-de-sessions-et-de-controle-dacces-de-vos-applications-web/) - know all the best practices to secure the authentication, session management and access control systems of your web applications. - [Faut-il donner accès au code source lors d’un pentest d’application web ?](https://www.vaadata.com/fr/blog/faut-il-donner-acces-au-code-source-lors-dun-pentest-dapplication-web/) - Quels sont les avantages et les inconvénients à donner accès au code source lors d’un pentest d'application web ? Cet article présente notre retour d'expérience - [Should you provide access to source code during a web application pentest?](https://www.vaadata.com/fr/blog/faut-il-donner-acces-au-code-source-lors-dun-pentest-dapplication-web/) - What are the advantages and disadvantages of providing access to source code during a web application pentest? This article presents our feedback. - [Sécurité du secteur logistique : quels sont les enjeux et priorités lors d’un test d’intrusion ?](https://www.vaadata.com/fr/blog/securite-secteur-logistique-quels-enjeux-priorites-lors-un-test-intrusion/) - Quels sont les priorités lors d’un test d’intrusion pour une entreprise du secteur logistique ? Voici un panorama des enjeux de cybersécurité. - [Logistics companies security: what are the challenges and priorities during a penetration test?](https://www.vaadata.com/fr/blog/securite-secteur-logistique-quels-enjeux-priorites-lors-un-test-intrusion/) - What are the priorities during a penetration test for a company in the logistics sector? Here is an overview of cybersecurity issues we frequently encounter - [Server-Side Template Injection vulnerability: what it is and how to prevent it](https://www.vaadata.com/fr/blog/vulnerabilite-web-server-side-template-injection-ssti-qu-est-ce-que-c-est-comment-s-en-proteger/) - Server-side template injection (SSTI) vulnerabilities often lead to RCE. In what contexts do they occur? How to detect and prevent them? - [La vulnérabilité web Server-Side Template Injection (SSTI) : qu’est-ce que c’est et comment s’en protéger](https://www.vaadata.com/fr/blog/vulnerabilite-web-server-side-template-injection-ssti-qu-est-ce-que-c-est-comment-s-en-proteger/) - Les failles server-side template injection (SSTI) mènent souvent à une RCE. Dans quels contextes se produisent-elles ? Comment les détecter et s’en protéger ? - [Understanding and preventing the path traversal vulnerability](https://www.vaadata.com/fr/blog/comprendre-se-proteger-vulnerabilite-path-traversal/) - In which cases can a path traversal (or directory traversal) vulnerability occur? How to detect this flaw and protect yourself from it? - [Comprendre et se protéger de la vulnérabilité Path Traversal](https://www.vaadata.com/fr/blog/comprendre-se-proteger-vulnerabilite-path-traversal/) - Dans quelles situations peut se produire une vulnérabilité path traversal (directory traversal) ? Comment détecter cette faille et s’en protéger ? - [Comment sécuriser un site web ?](https://www.vaadata.com/fr/blog/comment-securiser-un-site-web/) - Toutes les bonnes pratiques pour sécuriser un site web : sécurité serveurs, authentification, contrôle d'accès, sécurité des données au repos et en transit... - [How to secure a website?](https://www.vaadata.com/fr/blog/comment-securiser-un-site-web/) - All the best practices for securing a website: server security, authentication, access control, data at rest and in transit security, third-party components - [RCE vulnerability in a file name](https://www.vaadata.com/fr/blog/vulnerabilite-rce-dans-un-nom-de-fichier/) - In this article, we're explaining how we found a RCE vulnerability during a penetration test of a web application coded in PHP. - [Une vulnérabilité RCE dans un nom de fichier](https://www.vaadata.com/fr/blog/vulnerabilite-rce-dans-un-nom-de-fichier/) - [Walkthrough] Dans cet article, nous expliquons comment nous avons trouvé une vulnérabilité RCE dans un nom de fichier, lors d'un audit d'une appli web PHP. - [Node.js: Common vulnerabilities and security best practices](https://www.vaadata.com/fr/blog/node-js-failles-frequentes-bonnes-pratiques-securite/) - Node related vulnerabilities have consequences for your entire web application. What are the common vulnerabilities and what are the security best practices? - [Node.js : Failles fréquentes et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/node-js-failles-frequentes-bonnes-pratiques-securite/) - Les vulnérabilités liées à Node ont des conséquences sur l’ensemble d'une appli web. Quelles sont les failles fréquentes et les bonnes pratiques sécurité ? - [Comment renforcer la sécurité de vos APIs pour contrer les attaques les plus courantes ?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-vos-apis-pour-contrer-les-attaques-les-plus-courantes/) - Tout savoir sur les vulnérabilités et attaques courantes des APIs ainsi que les bonnes pratiques de sécurité à mettre en place pour se protéger efficacement - [How to strengthen the security of your APIs to counter the most common attacks?](https://www.vaadata.com/fr/blog/comment-renforcer-la-securite-de-vos-apis-pour-contrer-les-attaques-les-plus-courantes/) - Everything you need to know about common API vulnerabilities and attacks as well as the best security practices to implement to protect yourself effectively - [Comment sécuriser un réseau interne ?](https://www.vaadata.com/fr/blog/comment-securiser-un-reseau-interne/) - Toutes les bonnes pratiques pour sécuriser un réseau interne : segmentation, WI-FI, équipements réseaux, accès utilisateurs, communications, applications... - [How to secure an internal network?](https://www.vaadata.com/fr/blog/comment-securiser-un-reseau-interne/) - All the best practices to secure an internal network: segmentation, WI-FI networks, network devices, user access, communications, applications, etc. - [Comment sensibiliser vos collaborateurs pour contrer les attaques d'ingénierie sociale ?](https://www.vaadata.com/fr/blog/comment-sensibiliser-vos-collaborateurs-pour-contrer-les-attaques-dingenierie-sociale/) - Les attaques d'ingénierie sociale (phishing) sont une réalité pour les entreprises. Quelles sont les principales attaques et comment sensibiliser via un audit ? - [How to increase risk awareness to prevent social engineering attacks?](https://www.vaadata.com/fr/blog/comment-sensibiliser-vos-collaborateurs-pour-contrer-les-attaques-dingenierie-sociale/) - Social engineering attacks and especially phishing are a reality for companies. What are the main attacks and how to increase risk awareness through an audit? - [Attaques CSRF : principes, impacts, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/attaques-csrf-principes-impacts-exploitations-bonnes-pratiques-securite/) - Les attaques CSRF sont utilisées pour compromettre une application web. Principes, impacts, nous vous détaillons les CSRF et les bonnes pratiques sécurité - [CSRF attacks: principles, impacts, exploitations and security best practices](https://www.vaadata.com/fr/blog/attaques-csrf-principes-impacts-exploitations-bonnes-pratiques-securite/) - CSRF attacks are used to compromise a web application. Principles, impacts, we present an overview of the CSRF vulnerability as well as security best practices. - [Injections SQL (SQLi) : principes, impacts, exploitations et bonnes pratiques de sécurité](https://www.vaadata.com/fr/blog/injections-sql-principes-impacts-exploitations-bonnes-pratiques-securite/) - L'injection SQL cible les bases de données d'une application. Principes, impacts, exploitations, nous détaillons les SQLi et les bonnes pratiques sécurité. - [SQL injections (SQLi): principles, impacts, exploitations and security best practices](https://www.vaadata.com/fr/blog/injections-sql-principes-impacts-exploitations-bonnes-pratiques-securite/) - SQL injections target the databases of applications. Principles, impacts, exploitations, we present an overview of SQLi and the best security practices. - [Comment sécuriser un serveur ?](https://www.vaadata.com/fr/blog/comment-securiser-un-serveur/) - Toutes les bonnes pratiques pour sécuriser un serveur : sécurité authentification serveur et utilisateurs, contrôle d'accès, sécurité des applications, SSH... - [How to secure a server?](https://www.vaadata.com/fr/blog/comment-securiser-un-serveur/) - All the best practices for securing a server: server and user authentication security, access control, application security, logging and monitoring, SSH... - [Audit d'une application protégée par jeton CSRF avec Stepper](https://www.vaadata.com/fr/blog/audit-dune-application-protegee-par-jeton-csrf-avec-stepper-une-extension-burp/) - Nous vous présentons dans cet article l'extension Burp Stepper permettant de réaliser des audits d'applications protégées par jeton CSRF. - [Auditing an application protected by a CSRF token with Stepper](https://www.vaadata.com/fr/blog/audit-dune-application-protegee-par-jeton-csrf-avec-stepper-une-extension-burp/) - In this article we present through various examples Stepper, a Burp extension that enables to audit CSRF token protected applications. - [Attaques DOM-based XSS : principes, impacts, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/attaques-dom-based-xss-principes-impacts-exploitations-et-bonnes-pratiques-securite/) - Les DOM-based XSS sont des failles web particulièrement méconnues. Principes, exploitations, nous détaillons les DOM XSS et les bonnes pratiques sécurité. - [DOM-based XSS attacks: principles, impacts, exploitations and security best practices](https://www.vaadata.com/fr/blog/attaques-dom-based-xss-principes-impacts-exploitations-et-bonnes-pratiques-securite/) - DOM-based XSS are particularly unknown web vulnerabilities. Principles, impacts, exploits, we present an overview of DOM XSS and best security practices - [Failles XSS (Cross-site Scripting) : principes, types d'attaques, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/failles-xss-principes-types-dattaques-exploitations-et-bonnes-pratiques-securite/) - Les Failles XSS sont répandues dans les applications web. Principes, types d'attaques, exploitations, nous présentons les XSS et les bonnes pratiques sécurité - [XSS (Cross-Site Scripting) vulnerabilities: principles, types of attacks, exploitations and security best practices](https://www.vaadata.com/fr/blog/failles-xss-principes-types-dattaques-exploitations-et-bonnes-pratiques-securite/) - XSS vulnerabilities are particularly widespread in web applications. Principles, types of attacks, exploitations, we present XSS and security best practices - [Attaques brute force : principes et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/attaques-brute-force-principes-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une attaque brute force ? Nous présentons les types d'attaques et les mesures de sécurité essentielles pour prévenir et contrer le brute force. - [Brute force attacks: principles and security best practices](https://www.vaadata.com/fr/blog/attaques-brute-force-principes-et-bonnes-pratiques-securite/) - What is a brute force attack? We present the types of attacks and the essential security measures to prevent and counter brute force. - [Exploitation d'une injection SQL avec contournement de WAF](https://www.vaadata.com/fr/blog/exploitation-dune-injection-sql-avec-contournement-de-waf/) - Lors d'un pentest, nous avons découvert une injection SQL. Ce write-up présente les étapes d'exploitation de cette vulnérabilité avec un contournement du WAF. - [Exploiting an SQL injection with WAF bypass](https://www.vaadata.com/fr/blog/exploitation-dune-injection-sql-avec-contournement-de-waf/) - During a penetration test, we discovered an SQL injection. This write-up presents all the steps to exploit this vulnerability with a WAF bypass. - [Deep links : fonctionnement, vulnérabilités, attaques et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/deep-links-fonctionnement-vulnerabilites-attaques-et-bonnes-pratiques-securite/) - Qu'est-ce qu'un deep link ? Dans cet article, nous présentons le fonctionnement des deep links, les vulnérabilités, attaques et bonnes pratiques sécurité - [What are deep links? Vulnerabilities, attacks and security best practices](https://www.vaadata.com/fr/blog/deep-links-fonctionnement-vulnerabilites-attaques-et-bonnes-pratiques-securite/) - What is a deep link? In this article, we present how deep links work, vulnerabilities, attacks and security best practices - [Qu'est-ce que le Rate limiting ? Fonctionnement et techniques d'implémentation](https://www.vaadata.com/fr/blog/quest-ce-que-le-rate-limiting-fonctionnement-et-techniques-dimplementation/) - Le rate limiting est une mesure de sécurité essentielle qui permet de prévenir de nombreuses attaques. En quoi cela consiste et comment l'implémenter ? - [What is Rate Limiting? How it works and implementation techniques](https://www.vaadata.com/fr/blog/quest-ce-que-le-rate-limiting-fonctionnement-et-techniques-dimplementation/) - Rate limiting is an essential security measure that can prevent many attacks (brute force, DoS...). How does it work and what are the implementation techniques? - [Désérialisation : vulnérabilités, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/deserialisation-vulnerabilites-exploitations-et-bonnes-pratiques-securite/) - La désérialisation est un processus clé permettant de rétablir l'état d'une application. Cependant, il existe des vulnérabilités et exploitations possibles - [Exploiting and preventing insecure deserialization vulnerabilities](https://www.vaadata.com/fr/blog/deserialisation-vulnerabilites-exploitations-et-bonnes-pratiques-securite/) - Deserialization is a key process for restoring the state of an application. However, there are possible vulnerabilities and exploits - [ORM : exploitation relations en cascade et défaut de validation entrées utilisateur](https://www.vaadata.com/fr/blog/orm-exploitation-relations-en-cascade-et-defaut-de-validation-entrees-utilisateur/) - Un ORM permet de gérer l'accès à une base de données. Nous vous présentons les risques liés aux relations en cascade et au défaut de validation des entrées - [ORM: exploiting cascades with improper input validation](https://www.vaadata.com/fr/blog/orm-exploitation-relations-en-cascade-et-defaut-de-validation-entrees-utilisateur/) - An ORM is used to manage access to a database. We outline in this article the risks associated with cascade relations and improper input validation - [Exploitation d'un manque de contrôle de droits sur GraphQL](https://www.vaadata.com/fr/blog/exploitation-dun-manque-de-controle-de-droits-sur-graphql/) - Lors d'un pentest web, l'exploitation d'un manque de contrôles de droits sur GraphQL nous a permis de contourner le cloisonnement des données d'une app SaaS - [Exploiting a broken access control vulnerability on GraphQL](https://www.vaadata.com/fr/blog/exploitation-dun-manque-de-controle-de-droits-sur-graphql/) - During a web penetration test, the exploitation of a broken access control on GraphQL allowed us to bypass the data partitioning of a multi-tenant SaaS app - [Élévation de privilèges sur systèmes Linux : techniques et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/elevation-de-privileges-sur-systemes-linux-techniques-et-bonnes-pratiques-securite/) - Sur les systèmes Linux, il existe plusieurs techniques d'élévation des privilèges. Nous vous présentons les principales et les mesures sécurité à implémenter - [Linux Privilege Escalation: Techniques and Security Tips](https://www.vaadata.com/fr/blog/elevation-de-privileges-sur-systemes-linux-techniques-et-bonnes-pratiques-securite/) - On Linux systems, there are several techniques to perform privilege escalation. We present the main ones and the security measures to implement to prevent risks - [Failles IDOR (Insecure Direct Object Reference) : principes, attaques, mesures et tests sécurité](https://www.vaadata.com/fr/blog/failles-idor-principes-attaques-exploitations-mesures-tests-securite/) - Les Failles IDOR sont répandues dans les applications web. Principes, attaques, exploitations, nous présentons les IDOR ainsi que les mesures et tests sécurité - [What are IDOR (Insecure Direct Object References)? Attacks, exploits and security best practices](https://www.vaadata.com/fr/blog/failles-idor-principes-attaques-exploitations-mesures-tests-securite/) - IDOR vulnerabilities are widespread in web applications. Principles, attacks, exploits, we present IDORs as well as security bestpractices and testing methods - [Pseudonymisation des données : principes, techniques et bonnes pratiques](https://www.vaadata.com/fr/blog/pseudonymisation-des-donnees-principes-techniques-et-bonnes-pratiques/) - La pseudonymisation est une mesure essentielle de protection des données, qui peut s'appuyer sur des techniques de chiffrement et de tokenisation pour sécuriser - [What is Pseudonymisation? Techniques and Best Practices](https://www.vaadata.com/fr/blog/pseudonymisation-des-donnees-principes-techniques-et-bonnes-pratiques/) - Pseudonymisation is an essential data protection measure, which can be supported by encryption and tokenisation techniques to ensure data confidentiality - [Authentification multifacteur (MFA) : principes, types d'attaques, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/authentification-multifacteur-mfa-principes-types-dattaques-exploitations-et-bonnes-pratiques-securite/) - L’authentification multifacteur (MFA) est un mécanisme qui permet de renforcer la sécurité des accès. Principes, attaques et bonnes pratiques sécurité MFA - [Multifactor Authentication (MFA) : how does it work? Types of attacks, exploits and security best practices](https://www.vaadata.com/fr/blog/authentification-multifacteur-mfa-principes-types-dattaques-exploitations-et-bonnes-pratiques-securite/) - Multifactor authentication (MFA) is a mechanism for strengthening access security. How does it work and what are the main attacks, exploits and best practices? - [Exploitation d'une injection HTML avec dangling markup](https://www.vaadata.com/fr/blog/exploitation-dune-injection-html-avec-dangling-markup/) - Lors d'un pentest web, nous avons découvert une injection HTML. Ce write-up présente les étapes d'exploitation de cette vulnérabilité avec dangling markup. - [Exploiting an HTML injection with dangling markup](https://www.vaadata.com/fr/blog/exploitation-dune-injection-html-avec-dangling-markup/) - During a web penetration test, we discovered an HTML injection. This write-up presents all the steps to exploit this vulnerability with dangling markup. - [Top 10 OWASP #1 : sécurité et vulnérabilités du contrôle d'accès](https://www.vaadata.com/fr/blog/top-10-owasp-1-securite-et-vulnerabilites-du-controle-dacces/) - Cet article présente les vulnérabilités de contrôle d'accès à travers le prisme du Top 10 OWASP et les mesures de sécurité pour prévenir les attaques. - [Détournement de session (Hijacking) : principes, types d'attaques et exploitations](https://www.vaadata.com/fr/blog/detournement-de-session-hijacking-principes-types-dattaques-et-exploitations/) - Le détournement de session (ou Session Hijacking) consiste à usurper la session d’un utilisateur. Nous vous présentons les types d'attaques et exploitations. - [Comment modifier des mots de passe pour sécuriser leur stockage avec Argon2 ?](https://www.vaadata.com/fr/blog/comment-modifier-des-mots-de-passe-pour-securiser-leur-stockage-avec-argon2/) - Dans cet article, nous vous montrons comment modifier des mots de passe en base de données pour sécuriser leur stockage avec la fonction de hachage Argon2. - [What is Session Hijacking? Types of attacks and exploitations](https://www.vaadata.com/fr/blog/detournement-de-session-hijacking-principes-types-dattaques-et-exploitations/) - Session hijacking consists of stealing a user's session. In this article, we present the types of attacks and exploitations techniques. - [How to update passwords in database to secure their storage with Argon2?](https://www.vaadata.com/fr/blog/comment-modifier-des-mots-de-passe-pour-securiser-leur-stockage-avec-argon2/) - In this article, we show how to update passwords in a database to secure their storage with Argon2 wether stored in clear text or with an unsuitable hash - [Audit en boite blanche d'un pipeline CI/CD sur AWS](https://www.vaadata.com/fr/blog/audit-en-boite-blanche-dun-pipeline-ci-cd-sur-aws/) - Lors d'un audit d'un pipeline CI/CD, nous avons exploité des variables sensibles et des vulnérabilités critiques d'élévation privilèges sur l'infrastructure AWS - [White box audit of a CI/CD pipeline on AWS](https://www.vaadata.com/fr/blog/audit-en-boite-blanche-dun-pipeline-ci-cd-sur-aws/) - During an audit of a CI/CD pipeline, we exploited sensitive variables and critical privilege escalation vulnerabilities on the AWS infrastructure - [Chiffrement des données et défaillances cryptographiques : Top 10 OWASP #2](https://www.vaadata.com/fr/blog/chiffrement-des-donnees-et-defaillances-cryptographiques-top-10-owasp-2/) - Dans cet article, nous présentons les vulnérabilités et exploitations courantes liées au manque ou à l’absence de chiffrement dans les applications web. - [Mass Assignment : principes, attaques et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/mass-assignment-principes-attaques-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une vulnérabilité de type Mass Assignment ? Nous vous présentons les attaques, exploitations et bonnes pratiques sécurité pour prévenir le risque - [What is Mass Assignment? Attacks and Security Tips](https://www.vaadata.com/fr/blog/mass-assignment-principes-attaques-et-bonnes-pratiques-securite/) - What is a Mass Assignment vulnerability? In this article, we present the attacks, common exploits and security best practices to prevent the risk. - [Test d’intrusion web : objectifs, méthodologie, tests en boite noire, grise et blanche](https://www.vaadata.com/fr/blog/test-dintrusion-web-objectifs-methodologie-tests-en-boite-noire-grise-et-blanche/) - En quoi consiste un test d'intrusion web? Nous vous présentons la méthodologie, les objectifs ainsi que des use cases de tests en boite noire, grise et blanche. - [Web Application Penetration Testing: Objective, Methodology, Black Box, Grey Box and White Box Tests](https://www.vaadata.com/fr/blog/test-dintrusion-web-objectifs-methodologie-tests-en-boite-noire-grise-et-blanche/) - What is a web application penetration test? We present the methodology, objectives and use cases of black box, grey box and white box testing on various targets - [Exploitation d'une faille LFI (Local File Inclusion) et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/exploitation-dune-faille-lfi-local-file-inclusion-et-bonnes-pratiques-securite/) - Une faille LFI consiste à exploiter une fonctionnalité d'une application pour inclure un autre fichier déjà présent sur le système exécutant l’application. - [Exploiting an LFI (Local File Inclusion) Vulnerability and Security Tips](https://www.vaadata.com/fr/blog/exploitation-dune-faille-lfi-local-file-inclusion-et-bonnes-pratiques-securite/) - An LFI vulnerability consists of exploiting an application's functionality to include another file already present on the system running the application. - [Test d’intrusion interne : objectifs, méthodologie, tests en boite noire et grise](https://www.vaadata.com/fr/blog/test-dintrusion-interne-objectifs-methodologie-tests-en-boite-noire-et-grise/) - En quoi consiste un test d'intrusion interne ? Nous vous présentons les objectifs, la méthodologie ainsi que des use cases de tests en boite noire et grise. - [Internal Penetration Testing: Objective, Methodology, Black Box and Grey Box Tests](https://www.vaadata.com/fr/blog/test-dintrusion-interne-objectifs-methodologie-tests-en-boite-noire-et-grise/) - What is an internal penetration test? We present the methodology, objectives and use cases of black box and grey box testing on an internal network - [Découverte d’Exegol, un environnement dédié à la sécurité offensive ](https://www.vaadata.com/fr/blog/decouverte-dexegol-un-environnement-dedie-a-la-securite-offensive/) - Exegol simplifie la création d'environnements de pentest grâce à Docker. Dans cet article, nous passons en revue ses principales fonctionnalités et spécificités - [Introduction to Exegol, an Environment Dedicated to Offensive Security](https://www.vaadata.com/fr/blog/decouverte-dexegol-un-environnement-dedie-a-la-securite-offensive/) - Exegol simplifies the creation of pentesting environments using Docker. In this article, we take a look at its main features and specifications - [Vol de comptes via détournement de tokens d’authentification](https://www.vaadata.com/fr/blog/vol-de-comptes-via-detournement-de-tokens-dauthentification/) - Nous présentons une exploitation réalisée lors d’un audit mobile qui nous a permis de détourner le fonctionnement de tokens et de voler des comptes utilisateurs - [Insecure Authentication Tokens leading to Account Takeover](https://www.vaadata.com/fr/blog/vol-de-comptes-via-detournement-de-tokens-dauthentification/) - In this write up, we present an account takeover exploit carried out during a mobile application pentest in which we discovered the use of insecure tokens. - [Phishing : principes, scénarios d'attaques et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/phishing-principes-scenarios-dattaques-et-bonnes-pratiques-securite/) - Qu'est-ce que le phishing? Attaques, éléments permettant de les identifier, exemples de scénarios et bonnes pratiques sécurité, vous saurez tout sur le phishing - [Composants vulnérables et obsolètes : OWASP Top 10 #6 ](https://www.vaadata.com/fr/blog/composants-vulnerables-et-obsoletes-owasp-top-10-6/) - Dans cet article, nous présentons des exploitations liées à l'utilisation de composants tiers vulnérables et obsolètes à travers le prisme de l'OWASP Top 10. - [Mauvaise configuration de sécurité : OWASP Top 10 #5](https://www.vaadata.com/fr/blog/mauvaise-configuration-de-securite-owasp-top-10-5/) - Dans cet article, nous vous présentons des exploitations liées aux mauvaises configurations de sécurité à travers le prisme de l'OWASP Top 10 - [RCE (Remote Code Execution) : exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/rce-remote-code-execution-exploitations-et-bonnes-pratiques-securite/) - Une faille RCE (Remote Code Execution) peut être exploitée de diverses manières. Nous présentons des exemples d’exploitations et les bonnes pratiques sécurité. - [Comprendre et prévenir les problèmes de configuration de CORS](https://www.vaadata.com/fr/blog/comprendre-et-prevenir-les-problemes-de-configuration-de-cors/) - Les problèmes de configuration de CORS facilitent diverses attaques et exploitations sur des apps web. Nous présentons leur principe et les mesures correctives. - [Understanding and Preventing CORS Misconfiguration](https://www.vaadata.com/fr/blog/comprendre-et-prevenir-les-problemes-de-configuration-de-cors/) - CORS misconfiguration facilitates a variety of attacks and exploits on web apps. In this article, we explain how they work and what can be done to correct them. - [RCE (Remote Code Execution): Exploitations and Security Tips](https://www.vaadata.com/fr/blog/rce-remote-code-execution-exploitations-et-bonnes-pratiques-securite/) - A Remote Code Execution (RCE) vulnerability can be exploited in a variety of ways. In this article, we present examples of exploits and security best practices. - [Test d’intrusion d’application mobile : objectifs, méthodologie et périmètre des tests](https://www.vaadata.com/fr/blog/test-dintrusion-dapplication-mobile-objectifs-methodologie-et-perimetre-des-tests/) - En quoi consiste un test d'intrusion d'application mobile ? Nous vous présentons les objectifs, la méthodologie ainsi que le périmètre des tests. - [Mobile Application Penetration Testing: Objective, Methodology and Testing Scope](https://www.vaadata.com/fr/blog/test-dintrusion-dapplication-mobile-objectifs-methodologie-et-perimetre-des-tests/) - What is a mobile application penetration test? In this article, we present the methodology, objectives and scope of the tests (server-side and on the features) - [Pentest API : objectifs, méthodologie, tests en boite noire, grise et blanche](https://www.vaadata.com/fr/blog/pentest-api-objectifs-methodologie-tests-en-boite-noire-grise-et-blanche/) - En quoi consiste un pentest d’API ? Nous vous présentons les objectifs, la méthodologie ainsi que des uses cases de pentest en boire noire, grise et blanche. - [Authentification NTLM : principes, fonctionnement et attaques NTLM Relay](https://www.vaadata.com/fr/blog/authentification-ntlm-principes-fonctionnement-et-attaques-ntlm-relay/) - Dans cet article nous présentons le principe et le fonctionnement de l’authentification NTLM ainsi que les attaques NTLM relay ou attaques par relais NTLM. - [API Penetration Testing: Objective, Methodology, Black Box, Grey Box and White Box Tests](https://www.vaadata.com/fr/blog/pentest-api-objectifs-methodologie-tests-en-boite-noire-grise-et-blanche/) - What is API penetration testing? We present the methodology, objectives and use cases of black box, grey box and white box pentesting on APIs - [Réinitialisation de mots de passe : exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/reinitialisation-de-mots-de-passe-exploitations-et-bonnes-pratiques-securite/) - La fonctionnalité de réinitialisation de mots de passe est souvent la cible d'attaques. Dans cet article, nous présentons les exploitations et bonnes pratiques - [Introduction à Burp, l’outil dédié à la sécurité des plateformes web](https://www.vaadata.com/fr/blog/introduction-burp-outil-dedie-securite-plateformes-web/) - Burp est un outil dédié à la sécurité web. Dans cet article, nous vous présentons les principales fonctionnalités, extensions clés et spécificités de Burp Suite - [Exploring Password Reset Vulnerabilities and Security Best Practices](https://www.vaadata.com/fr/blog/reinitialisation-de-mots-de-passe-exploitations-et-bonnes-pratiques-securite/) - The password reset feature is often the target of attacks. In this article, we explore the common vulnerabilities, exploitations and security best practices. - [Smishing (phishing par SMS) : comment identifier les attaques et se protéger ?](https://www.vaadata.com/fr/blog/smishing-phishing-par-sms-comment-identifier-les-attaques-et-se-proteger/) - Qu’est-ce que le Smishing ? Nous présentons comment identifier les attaques de phishing par SMS, des cas concrets et les bonnes pratiques pour se protéger - [Pentest : méthodologie, déroulement, scope et types de tests d'intrusion](https://www.vaadata.com/fr/blog/pentest-methodologie-deroulement-scope-et-types-de-tests-dintrusion/) - En quoi consiste un pentest ? Nous vous présentons la méthodologie, le déroulement, le scope d'un pentest et les types de tests (boite noire, grise et blanche) - [Penetration Testing: Methodology, Scope and Types of Pentests](https://www.vaadata.com/fr/blog/pentest-methodologie-deroulement-scope-et-types-de-tests-dintrusion/) - What is penetration testing? We present the methodology, the process, the scope of a pentest and the types of tests (black, grey and white box). - [Smishing (SMS Phishing): How to Identify Attacks and Protect Yourself?](https://www.vaadata.com/fr/blog/smishing-phishing-par-sms-comment-identifier-les-attaques-et-se-proteger/) - What is Smishing? In this article, we show you how to identify SMS phishing attacks, some practical examples and best practices for protecting yourself. - [Techniques de contournement d'antivirus et d'EDR](https://www.vaadata.com/fr/blog/techniques-de-contournement-dantivirus-et-dedr/) - Cet article présente les différentes techniques permettant le contournement (bypass) d’antivirus et d'EDR dans le cadre de tests d'intrusion via un loader. - [Antivirus and EDR Bypass Techniques](https://www.vaadata.com/fr/blog/techniques-de-contournement-dantivirus-et-dedr/) - This article explains the various antivirus and EDR bypass techniques that can be used during penetration testing and implemented in a loader. - [Pentest White Box : objectifs, méthodologie de tests et use cases](https://www.vaadata.com/fr/blog/pentest-white-box-objectifs-methodologie-de-tests-et-use-cases/) - En quoi consiste un pentest white box ? Nous vous présentons les objectifs, la méthodologie de tests et des exemples et use cases d'audit en boite blanche. - [White Box Penetration Testing: Objectives, Methodology and Use Cases](https://www.vaadata.com/fr/blog/pentest-white-box-objectifs-methodologie-de-tests-et-use-cases/) - What is a white box penetration test? We present the methodology, objectives and use cases of white box testing on a web application and an internal network - [Attaques DoS : principes, types d'attaques, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/attaques-dos-principes-types-dattaques-exploitations-et-bonnes-pratiques-securite/) - Une attaque par déni de service (DoS) consiste à ralentir ou rendre indisponible un serveur ou une ressource. Quels sont les différents types d'attaques ? - [Défaut d'identification et d'authentification : Top 10 OWASP #7](https://www.vaadata.com/fr/blog/defaut-didentification-et-dauthentification-top-10-owasp-7/) - Cet article présente les exploitations liées au défaut d’identification et d’authentification dans les applications web à travers le prisme de l’OWASP Top 10. - [Modifier des objets sérialisés Java aussi facilement qu'en JSON](https://www.vaadata.com/fr/blog/modifier-des-objets-serialises-java-aussi-facilement-quen-json/) - Nous présentons comment modifier facilement des objets sérialisés java, via des cas concrets, à l'aide d'un outil que nous avons développé : Java Serde. - [What is a DoS Attack? Types, Exploitations and Security Tips](https://www.vaadata.com/fr/blog/attaques-dos-principes-types-dattaques-exploitations-et-bonnes-pratiques-securite/) - A Denial of Service (DoS) attack consists of slowing down or rendering unavailable a server or a resource. What are the types of attack and security tips? - [Modifying Java Serialized Objects as Easily as JSON](https://www.vaadata.com/fr/blog/modifier-des-objets-serialises-java-aussi-facilement-quen-json/) - In this article, we demonstrate how to easily modify java serialized objects, using concrete examples and a tool we have developed: Java Serde. - [Vulnérabilités LLM et sécurité des IA génératives](https://www.vaadata.com/fr/blog/vulnerabilites-llm-et-securite-des-ia-generatives/) - Cet article présente les vulnérabilités des LLM, avec un cas concret rencontré lors d'un pentest web, et les bonnes pratiques pour sécuriser les IA génératives. - [APIs GraphQL : fonctionnement, vulnérabilités et attaques courantes](https://www.vaadata.com/fr/blog/apis-graphql-fonctionnement-vulnerabilites-et-attaques-courantes/) - Cet article présente le fonctionnement des APIs GraphQL, les vulnérabilités et attaques courantes sur ce type de système ainsi que les bonnes pratiques sécurité - [GraphQL API Vulnerabilities, Common Attacks and Security Tips](https://www.vaadata.com/fr/blog/apis-graphql-fonctionnement-vulnerabilites-et-attaques-courantes/) - What Is GraphQL API and how does it work? This article explains the common vulnerabilities and attacks on this type of system and security tips to secure APIs. - [Exploring LLM Vulnerabilities and Security Best Practices](https://www.vaadata.com/fr/blog/vulnerabilites-llm-et-securite-des-ia-generatives/) - This article presents the most common vulnerabilities in LLM apps and security best practices through an example of exploitation performed during a web pentest. - [Sqlmap, l’outil pour identifier et exploiter des injections SQL](https://www.vaadata.com/fr/blog/sqlmap-loutil-pour-identifier-et-exploiter-des-injections-sql/) - Sqlmap est un outil incontournable pour identifier et exploiter tous types d'injections SQL (SQLi). Cet article présente ses fonctionnalités et spécificités. - [Audit de sécurité : objectifs, types d'audits et méthodologies](https://www.vaadata.com/fr/blog/audit-de-securite-objectifs-types-daudits-et-methodologies/) - En quoi consiste un audit de sécurité ? Dans cet article, nous détaillons les principes et la méthodologie des différents types d'audits (techniques, etc.). - [Understanding NTLM Authentication and NTLM Relay Attacks](https://www.vaadata.com/fr/blog/authentification-ntlm-principes-fonctionnement-et-attaques-ntlm-relay/) - What is NTLM authentification? This article explains its principle and operation, as well as NTLM relay attacks and security best practices . - [Sécurité IoT : focus sur les principaux vecteurs d'attaques](https://www.vaadata.com/fr/blog/securite-iot-focus-sur-les-principaux-vecteurs-dattaques/) - La sécurité de l’IoT est un enjeu clé. Cet article détaille les principaux vecteurs d'attaques qui peuvent mener à la compromission d’un objet connecté. - [SAML : fonctionnement, vulnérabilités et attaques courantes](https://www.vaadata.com/fr/blog/saml-fonctionnement-vulnerabilites-et-attaques-courantes/) - Qu'est-ce que SAML (Security Assertion Markup Language)? Cet article présente le fonctionnement de SAML, les vulnérabilités et les attaques courantes - [Vols de comptes : techniques et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/vols-de-comptes-techniques-et-bonnes-pratiques-securite/) - Dans cet article, nous détaillons les techniques utilisées pour voler des comptes. Nous présentons également les bonnes pratiques pour contrer le vol de comptes - [SAML: How it Works, Vulnerabilities and Common Attacks](https://www.vaadata.com/fr/blog/saml-fonctionnement-vulnerabilites-et-attaques-courantes/) - What is SAML (Security Assertion Markup Language)? This article explains how it works, its vulnerabilities, common attacks as well as security best practices. - [Account Takeover Techniques and Security Best Practices](https://www.vaadata.com/fr/blog/vols-de-comptes-techniques-et-bonnes-pratiques-securite/) - In this article, we detail the techniques used to steal accounts. We also present security best practices and measures to implement to counter account takeover. - [Phishing : méthodologie, techniques courantes et outils](https://www.vaadata.com/fr/blog/phishing-methodologie-techniques-courantes-et-outils/) - Cet article aborde les techniques de phishing (clone et MitM), les outils (Gophish, Evilginx, Evilgophish) et les mesures de protection côté client et serveur - [Prototype pollution : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/prototype-pollution-principes-exploitations-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une prototype pollution ? Cet article détaille les principes, les exploitations côté serveur et client, ainsi que les bonnes pratiques sécurité. - [Phishing: Methodology, Common Techniques and Tools](https://www.vaadata.com/fr/blog/phishing-methodologie-techniques-courantes-et-outils/) - This article looks at phishing techniques (clone and MitM), tools (Gophish, Evilginx, Evilgophish) and client- and server-side protection measures. - [What is Prototype Pollution? Exploitations and Security Tips](https://www.vaadata.com/fr/blog/prototype-pollution-principes-exploitations-et-bonnes-pratiques-securite/) - What is prototype pollution? This article presents the principles of this vulnerability, server-side and client-side exploitations as well as security tips. - [Security Audits: Objectives, Types and Methodologies](https://www.vaadata.com/fr/blog/audit-de-securite-objectifs-types-daudits-et-methodologies/) - What is a security audit? In this article, we detail the objectives and methodology of the different types of audit (technical, compliance & organisational). - [What are IoT Attack Vectors and Security Challenges?](https://www.vaadata.com/fr/blog/securite-iot-focus-sur-les-principaux-vecteurs-dattaques/) - IoT security is a key issue. This article details the main attack vectors that can lead to the compromise of a connected object. - [Changement d'email : exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/changement-demail-exploitations-et-bonnes-pratiques-securite/) - La fonctionnalité de changement d'email est souvent ciblée lors d'attaques. Dans cet article, nous présentons les exploitations courantes et bonnes pratiques. - [Nuclei, un scanner de vulnérabilités open source](https://www.vaadata.com/fr/blog/nuclei-un-scanner-de-vulnerabilites-open-source/) - Nuclei est un scanner de vulnérabilités open source, développé par ProjectDiscovery. Cet article présente ses fonctionnalités, spécificités et des use cases. - [Exploring Email Change Vulnerabilities and Security Best Practices](https://www.vaadata.com/fr/blog/changement-demail-exploitations-et-bonnes-pratiques-securite/) - The email change functionality is often targeted in attacks. In this article, we present the main vulnerabilities, common exploits and security best practices. - [Remote File Inclusion (RFI) : principes, impacts, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/remote-file-inclusion-rfi-principes-impacts-exploitations-et-bonnes-pratiques-securite/) - Une faille RFI consiste à manipuler des inputs d'une app pour importer des fichiers distants. Nous présentons des exploitations et bonnes pratiques sécurité. - [What is RFI? Remote File Inclusion Exploitations and Security Tips](https://www.vaadata.com/fr/blog/remote-file-inclusion-rfi-principes-impacts-exploitations-et-bonnes-pratiques-securite/) - An RFI (Remote File Inclusion) vulnerability involves manipulating an app's inputs to import remote files. We present exploitations and security best practices. - [Pre-Account Takeover : exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/pre-account-takeover-exploitations-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une attaque de type Pre-Account Takeover ? Cet article présente les principes, un exemple concret d'attaque ainsi que les bonnes pratiques sécurite - [What is Pre-Account Takeover? Exploitations & Security Tips](https://www.vaadata.com/fr/blog/pre-account-takeover-exploitations-et-bonnes-pratiques-securite/) - What is Pre-Account Takeover? This article explains how this type of attack works, using a concrete example, as well as security tips to prevent the risk. - [Injections de commandes : exploitations et bonnes pratiques sécurité ](https://www.vaadata.com/fr/blog/injections-de-commandes-exploitations-et-bonnes-pratiques-securite/) - Les injections de commandes sont des vulnérabilités critiques. Principes, exploitations, nous détaillons les attaques et les bonnes pratiques sécurité. - [What is Command Injection? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/injections-de-commandes-exploitations-et-bonnes-pratiques-securite/) - Command injections are one of the most critical vulnerabilities in web security. This article presents how they work, exploitation methods and security best - [Cloudflare : comment sécuriser votre serveur d'origine ?](https://www.vaadata.com/fr/blog/cloudflare-comment-securiser-votre-serveur-dorigine/) - Cloudflare est un outil clé pour contrer des attaques web. Cet article explore les configurations pour sécuriser votre serveur d'origine et prévenir les risques - [Frida, l’outil dédié à la sécurité des applications mobiles](https://www.vaadata.com/fr/blog/frida-loutil-dedie-a-la-securite-des-applications-mobiles/) - Frida est un outil incontournable pour identifier et exploiter des failles sur des apps mobiles. Cet article présente ses fonctionnalités et spécificités. - [Cloudflare: How to Secure Your Origin Server?](https://www.vaadata.com/fr/blog/cloudflare-comment-securiser-votre-serveur-dorigine/) - Cloudflare is a key tool for countering web attacks. This article explores the configurations for securing your origin server and preventing the risks. - [What is Kerberos? Kerberos Authentication Explained](https://www.vaadata.com/fr/blog/authentification-kerberos-principes-et-fonctionnement/) - What is Kerberos Authentication? This article explains the principle and operation of the kerberos protocol, as well as all the authentication mechanisms. - [Techniques et outils d’énumération de sous-domaines](https://www.vaadata.com/fr/blog/techniques-et-outils-denumeration-de-sous-domaines/) - Cet article explore les techniques d'énumération de sous-domaines, les outils utilisés, ainsi que les méthodes pour les combiner pour obtenir des résultats. - [Subdomain Enumeration Techniques and Tools](https://www.vaadata.com/fr/blog/techniques-et-outils-denumeration-de-sous-domaines/) - This article explores subdomain enumeration techniques, the tools used, and methods for combining them to obtain results for identifying an attack surface. - [Race condition : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/race-condition-principes-exploitations-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une attaque race condition ? Cet article détaille les principes, les techniques d'exploitations ainsi que les bonnes pratiques sécurité. - [Sécurité PHP : failles, attaques et bonnes pratiques](https://www.vaadata.com/fr/blog/securite-php-failles-attaques-et-bonnes-pratiques/) - PHP est parmi les langages les plus populaires. Cet article présente les bonnes pratiques pour sécuriser vos applications PHP, les failles et attaques courantes - [En quoi consiste un test d’intrusion ? Objectifs et Méthodologie](https://www.vaadata.com/fr/blog/en-quoi-consiste-un-test-dintrusion-objectifs-et-methodologie/) - Qu'est-ce qu'un test d'intrusion ? Cet article détaille les objectifs, la méthodologie, les types et conditions de tests (boite noire, grise, blanche), coûts - [PHP Security Best Practices, Vulnerabilities and Attacks](https://www.vaadata.com/fr/blog/securite-php-failles-attaques-et-bonnes-pratiques/) - PHP is one of the most popular languages. This article covers best practices for securing your PHP applications, as well as common vulnerabilities and attacks. - [What is a Race Condition? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/race-condition-principes-exploitations-et-bonnes-pratiques-securite/) - What is a race condition attack? This article explains the principles, exploitation techniques and security best practices to prevent the risks. - [Pentest Cloud Azure : objectifs, méthodologie de tests et use cases](https://www.vaadata.com/fr/blog/pentest-cloud-azure-objectifs-methodologie-de-tests-et-use-cases/) - En quoi consiste un pentest Azure ? Nous vous présentons les principes et objectifs ainsi que la méthodologie d’un audit Azure via un cas concret. - [Attaques Man in the Middle (MitM) : Types et Protections](https://www.vaadata.com/fr/blog/attaques-man-in-the-middle-mitm-types-et-protections/) - En quoi consiste une attaque Man in the Middle (MitM) ? Cet article présente le principe, les techniques (ARP Poisoning, DNS Spoofing, etc.) et les protections - [What is a Man in the Middle (MiTM) Attack? Types and Security Best Practices](https://www.vaadata.com/fr/blog/attaques-man-in-the-middle-mitm-types-et-protections/) - What is a Man in the Middle (MiTM) Attack? This article details the principle of MitM attacks, the techniques used and the security best practices. - [Azure Penetration Testing: Objectives, Methodology and Use Cases](https://www.vaadata.com/fr/blog/pentest-cloud-azure-objectifs-methodologie-de-tests-et-use-cases/) - What is Azure penetration testing? We present the principles, objectives, testing scope and methodology of an Azure security audit through a concrete use case. - [Sécurité du Cloud : vulnérabilités courantes et bonnes pratiques](https://www.vaadata.com/fr/blog/securite-du-cloud-vulnerabilites-courantes-et-bonnes-pratiques/) - La sécurité du Cloud est critique. Cet article présente les bonnes pratiques pour sécuriser vos infrastructures cloud ainsi que les vulnérabilités courantes. - [Cloud Security: Common Vulnerabilities and Best Practices](https://www.vaadata.com/fr/blog/securite-du-cloud-vulnerabilites-courantes-et-bonnes-pratiques/) - Cloud security is critical. This article looks at best practices for securing your cloud infrastructures, as well as common vulnerabilities (buckets, IAM, etc.) - [OSINT Cybersécurité : techniques et méthodologie](https://www.vaadata.com/fr/blog/osint-cybersecurite-techniques-et-methodologie/) - Découvrez les principes et la méthodologie de l'OSINT cybersécurité, les techniques et outils pour identifier, cartographier et réduire votre surface d'attaque - [Sécurité des mots de passe : failles, attaques et bonnes pratiques](https://www.vaadata.com/fr/blog/securite-des-mots-de-passe-failles-attaques-et-bonnes-pratiques/) - La sécurité des mots de passe est cruciale. Cet article présente les bonnes pratiques pour sécuriser vos mots de passe, les failles et attaques courantes. - [Password Security: Vulnerabilities, Attacks and Best Practices](https://www.vaadata.com/fr/blog/securite-des-mots-de-passe-failles-attaques-et-bonnes-pratiques/) - Password security is crucial. This article outlines the best practices for securing your passwords, as well as common vulnerabilities and attacks. - [Red Teaming : objectifs, méthodologie et périmètre d'une mission Red Team](https://www.vaadata.com/fr/blog/red-teaming-objectifs-methodologie-et-perimetre-dune-mission-red-team/) - En quoi consiste le Red Teaming ? Nous vous présentons les objectifs, la méthodologie, le déroulement, les techniques et le périmètre d'une mission Red Team - [TIBER-EU : un framework clé dédié aux audits Red Team](https://www.vaadata.com/fr/blog/tiber-eu-un-framework-cle-dedie-aux-audits-red-team/) - Découvrez TIBER-EU, le framework dédié aux audits Red Team. Ce article présente les principes, objectifs et la méthodologie du framework TIBER pour la Red Team - [What is Red Teaming? Methodology and Scope of a Red Team Operation](https://www.vaadata.com/fr/blog/red-teaming-objectifs-methodologie-et-perimetre-dune-mission-red-team/) - What is Red Teaming? In this article, we present the objectives, methodology, process, techniques, tools and scope of a Red Team operation. - [Assumed Breach : objectifs, méthodologie, scénarios de tests et use cases](https://www.vaadata.com/fr/blog/assumed-breach-objectifs-methodologie-scenarios-de-tests-et-use-cases/) - Cet article détaille les objectifs des exercices Assumed Breach. Nous y abordons aussi la méthodologie de tests ainsi que des uses cases de scénarios courants. - [Assumed Breach: Objectives, Methodology, Test Scenarios and Use Cases](https://www.vaadata.com/fr/blog/assumed-breach-objectifs-methodologie-scenarios-de-tests-et-use-cases/) - What is Assumed Breach? This article details the objectives, the testing methodology and use cases for common Assumed Breach assessments scenarios. - [Cybersecurity OSINT: Methodology, Tools and Techniques](https://www.vaadata.com/fr/blog/osint-cybersecurite-techniques-et-methodologie/) - What is OSINT (Open Source Intelligence)? This article explores its methodology as well as the techniques and tools to identify and reduce an attack surface. - [Pentest Active Directory : objectifs, méthodologie, tests en boite noire et grise](https://www.vaadata.com/fr/blog/pentest-active-directory-objectifs-methodologie-tests-en-boite-noire-et-grise/) - En quoi consiste un pentest Active Directory (AD)? Nous présentons les objectifs, la méthodologie ainsi que des uses cases de pentest AD en boire noire et grise - [Active Directory Pentesting: Objective, Methodology, Black Box and Grey Box Tests](https://www.vaadata.com/fr/blog/pentest-active-directory-objectifs-methodologie-tests-en-boite-noire-et-grise/) - What is Active Directory pentesting? We present the methodology, objectives and use cases of black box and grey box penetration testing on an Active Directory - [Buffer Overflow : principes, types d’attaques, vulnérabilités et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/buffer-overflow-principes-types-dattaques-vulnerabilites-et-bonnes-pratiques-securite/) - Qu’est-ce que le Buffer Overflow (dépassement de tampon ) ? Cet article détaille les principes, types d'attaques, vulnérabilités et bonnes pratiques sécurité. - [What is Buffer Overflow? Attacks, Types and Security Tips](https://www.vaadata.com/fr/blog/buffer-overflow-principes-types-dattaques-vulnerabilites-et-bonnes-pratiques-securite/) - What is Buffer Overflow? This article explains the principles, types of attack (stack-based & heap-based buffer overflow), vulnerabilities and security tips. - [Pentest Cloud AWS : objectifs, méthodologie de tests et use cases](https://www.vaadata.com/fr/blog/pentest-cloud-aws-objectifs-methodologie-de-tests-et-use-cases/) - En quoi consiste un pentest AWS ? Nous vous présentons les principes et objectifs ainsi que la méthodologie d’un audit AWS via un cas concret. - [AWS Penetration Testing: Objectives, Methodology and Use Cases](https://www.vaadata.com/fr/blog/pentest-cloud-aws-objectifs-methodologie-de-tests-et-use-cases/) - What is AWS penetration testing? We present the principles, objectives, testing scope and methodology of an AWS security audit through a concrete use case. - [Diagnostic cybersécurité : évaluer et renforcer vos systèmes](https://www.vaadata.com/fr/blog/diagnostic-cybersecurite-evaluer-et-renforcer-vos-systemes/) - Qu'est-ce qu'un diagnostic cybersécurité ? Cet article présente les objectifs, le périmètre des tests et les coûts associés à ce type d'audit à prix réduit - [OAuth 2.0 : principes, fonctionnement et vulnérabilités](https://www.vaadata.com/fr/blog/oauth-2-0-principes-fonctionnement-et-vulnerabilites/) - Cet article présente le principe et le fonctionnement d'OAuth 2.0. Il détaille également l’authentification via OpenID et les vulnérabilités courantes d'OAuth. - [Understanding OAuth 2.0 and its Common Vulnerabilities](https://www.vaadata.com/fr/blog/oauth-2-0-principes-fonctionnement-et-vulnerabilites/) - What is OAuth 2.0 and how does it work? This article explains OAuth authentication and delegation via OpenID (OIDC and the most common vulnerabilities. - [Injections XPath : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/injections-xpath-principes-exploitations-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une injection XPath ? Cet article présente cette faille spécifique au XML, les exploitations et les bonnes pratiques sécurité pour se protéger. - [XPath Injections: Exploitations and Security Tips](https://www.vaadata.com/fr/blog/injections-xpath-principes-exploitations-et-bonnes-pratiques-securite/) - What is an XPath injection? This article explains the principle behind this XML-specific vulnerability, the exploits and security best practices. - [Recherche de secrets : techniques et outils](https://www.vaadata.com/fr/blog/recherche-de-secrets-techniques-et-outils/) - La recherche de secrets est toujours une étape clé lors de tests d'intrusion. Dans cet article, nous détaillons les méthodes, techniques et principaux outils. - [How to Detect Secrets? Tools and Techniques](https://www.vaadata.com/fr/blog/recherche-de-secrets-techniques-et-outils/) - Detecting secrets is always a key stage in penetration testing. In this article, we detail the methods, techniques and main tools. - [Sécurité Symfony : failles, attaques et bonnes pratiques](https://www.vaadata.com/fr/blog/securite-symfony-failles-attaques-et-bonnes-pratiques/) - Symfony est un framework PHP très utilisé. Cet article présente les bonnes pratiques pour sécuriser vos applications Symfony, les failles et attaques courantes. - [Symfony Security Best Practices, Vulnerabilities and Attacks](https://www.vaadata.com/fr/blog/securite-symfony-failles-attaques-et-bonnes-pratiques/) - Symfony is a widely used PHP framework. This article covers best practices for securing your Symfony applications, as well as common vulnerabilities and attacks - [What is Kerberoasting? Attack and Security Tips Explained](https://www.vaadata.com/fr/blog/kerberoasting-comprendre-lattaque-et-les-mesures-de-protection/) - What is Kerberoasting? This article explains how a kerberoasting attack works, the methods of exploitation & the security best practices to protect against it. - [Blind SQL injections : principes, types d'attaques et exploitations](https://www.vaadata.com/fr/blog/blind-sql-injections-principes-types-dattaques-et-exploitations/) - En quoi consiste une blind SQL injection ? Cet article présente leur principe, les types d'attaques, techniques d’exploitation, et les bonnes pratiques sécurité - [What is Blind SQL Injection? Attack Types, Exploitations and Security Tips](https://www.vaadata.com/fr/blog/blind-sql-injections-principes-types-dattaques-et-exploitations/) - What is blind SQL injection? This article describes the principle behind these attacks, the different types, exploitation techniques and security best practices - [Object injection : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/object-injection-principes-exploitations-et-bonnes-pratiques-securite/) - Qu'est-ce que l'object injection ? Cet article présente cette faille liée à la dé-sérialisation (notamment PHP), les exploitations et bonnes pratiques sécurité - [What is Object Injection? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/object-injection-principes-exploitations-et-bonnes-pratiques-securite/) - What is object injection? This article describes this vulnerability linked to de-serialization (in particular PHP), the exploits and security best practices. - [Content Security Policy (CSP) : techniques de contournement et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/content-security-policy-csp-techniques-de-contournement-et-bonnes-pratiques-securite/) - Qu'est ce que le Content Security Policy (CSP)? Cet article présente les configurations & techniques permettant de les contourner ainsi que les bonnes pratiques - [Content Security Policy Bypass Techniques and Security Best Practices](https://www.vaadata.com/fr/blog/content-security-policy-csp-techniques-de-contournement-et-bonnes-pratiques-securite/) - What is a Content Security Policy (CSP)? This article presents the configurations and techniques used to bypass this mechanism, as well as security tips. - [Campagne de phishing : objectifs, méthodologie, tests de phishing ciblé et de masse](https://www.vaadata.com/fr/blog/campagne-de-phishing-objectifs-methodologie-tests-de-phishing-cible-et-de-masse/) - En quoi consiste une campagne de phishing ? Nous présentons les objectifs, la méthodologie ainsi que des uses cases de campagne de phishing ciblée et de masse - [Phishing Campaign: Objectives, Methodology, Spear and Mass Phishing Examples](https://www.vaadata.com/fr/blog/campagne-de-phishing-objectifs-methodologie-tests-de-phishing-cible-et-de-masse/) - What is a phishing campaign? We present the methodology, objectives and use cases of mass phishing and spear phishing campaigns. - [Clickjacking : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/clickjacking-principes-exploitations-et-bonnes-pratiques-securite/) - En quoi consiste le clickjacking ? Cet article présente le principe, des exemples d'exploitation et les bonnes pratiques sécurité pour prévenir le clickjacking - [What is Clickjacking? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/clickjacking-principes-exploitations-et-bonnes-pratiques-securite/) - What is clickjacking? This article explains how it works using exploitation examples. It also details the security best practices to prevent clickjacking - [Présentation de ZAP, un proxy d'interception open source](https://www.vaadata.com/fr/blog/presentation-de-zap-un-proxy-dinterception-open-source/) - ZAP (Zed Attack Proxy) est un proxy d’interception dédié aux tests de sécurité web. Cet article présente ses fonctionnalités clés & le scanner de vulnérabilités - [WebSockets : fonctionnement, vulnérabilités et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/websockets-fonctionnement-vulnerabilites-et-bonnes-pratiques-securite/) - Cet article décrit le fonctionnement des WebSockets, comment les tester, les vulnérabilités courantes ainsi que les bonnes pratiques sécurité - [How WebSockets Work? Vulnerabilities and Security Best Practices](https://www.vaadata.com/fr/blog/websockets-fonctionnement-vulnerabilites-et-bonnes-pratiques-securite/) - WebSocket is a real-time bidirectional communication protocol. This article describes how WebSockets work, testing methods, vulnerabilities and security tips. - [HTTP Request Smuggling : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/http-request-smuggling-principes-exploitations-et-bonnes-pratiques-securite/) - Qu'est-ce que le http Request Smuggling ? Cet article présente le principe de l'attaque http Request Smuggling, les exploitations et bonnes pratiques sécurité - [What is HTTP Request Smuggling? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/http-request-smuggling-principes-exploitations-et-bonnes-pratiques-securite/) - What is HTTP Request Smuggling? This article explains the principle behind http Request Smuggling attacks, examples of exploitations and security best practices - [What is a Slow HTTP Attack? Types and Security Best Practices](https://www.vaadata.com/fr/blog/attaques-slow-http-fonctionnement-et-bonnes-pratiques-securite/) - What is a Slow HTTP attack? This article describes the main types of attack (slowloris, R.U.D.Y, etc.) and the security best practices for protecting yourself. - [Attaques Slow HTTP : fonctionnement et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/attaques-slow-http-fonctionnement-et-bonnes-pratiques-securite/) - Qu'est-ce qu'une attaque Slow HTTP ? Cet article présente les principaux types d'attaques ainsi que les bonnes pratiques sécurité pour se protéger - [Injection NoSQL : principes, exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/injection-nosql-principes-exploitations-et-bonnes-pratiques-securite/) - En quoi consiste une injection NoSQL ? Cet article présente leur principe, des exemples d’exploitation et les bonnes pratiques sécurité pour se protéger - [What is NoSQL Injection? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/injection-nosql-principes-exploitations-et-bonnes-pratiques-securite/) - What is NoSQL injection? This article describes the principle behind them, examples of exploitation and security best practices to protect against them. - [Active Directory Security Best Practices, Vulnerabilities and Attacks](https://www.vaadata.com/fr/blog/securite-active-directory-failles-attaques-et-bonnes-pratiques/) - Active Directory (AD) is a critical system. This article looks at best practices for securing your Active Directory, common vulnerabilities and attacks. - [Sécurité Active Directory : failles, attaques et bonnes pratiques](https://www.vaadata.com/fr/blog/securite-active-directory-failles-attaques-et-bonnes-pratiques/) - Active Directory (AD) est un système clé. Cet article présente les bonnes pratiques pour sécuriser votre Active Directory, les failles et attaques courantes - [Web Cache Poisoning Attacks and Security Best Practices](https://www.vaadata.com/fr/blog/web-cache-poisoning-fonctionnement-et-bonnes-pratiques-securite/) - What is web cache poisoning? This article describes how it works, examples of exploitation and security best practices to prevent this type of attack - [Web Cache Poisoning : fonctionnement et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/web-cache-poisoning-fonctionnement-et-bonnes-pratiques-securite/) - Dans cet article, nous détaillons les principes et fonctionnement du web cache poisoning ainsi que les bonnes pratiques pour prévenir ce type d'attaque - [Vulnérabilités d’upload de fichiers : exploitations et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/vulnerabilites-dupload-de-fichiers-exploitations-et-bonnes-pratiques-securite/) - Dans cet article, nous passons en revue les vulnérabilités liées à l’upload de fichiers. Nous détaillons les exploitations et bonnes pratiques pour se protéger - [File Upload Vulnerabilities and Security Best Practices](https://www.vaadata.com/fr/blog/vulnerabilites-dupload-de-fichiers-exploitations-et-bonnes-pratiques-securite/) - In this article, we review file upload vulnerabilities. We also detail the exploitations and security best practices for protecting against them. - [JWT (JSON Web Token) : vulnérabilités, attaques courantes et bonnes pratiques sécurité](https://www.vaadata.com/fr/blog/jwt-json-web-token-vulnerabilites-attaques-courantes-et-bonnes-pratiques-securite/) - Cet article présente le principe et le fonctionnement des JWT (JSON Web Token). Il détaille également les vulnérabilités et les bonnes pratiques sécurité de JWT - [Comprendre la méthodologie d'audit de code source d'application web](https://www.vaadata.com/fr/blog/comprendre-la-methodologie-daudit-de-code-source-dapplication-web/) - En quoi consiste un audit de code source ? Cet article présente la méthodologie basée sur l'analyse des sources et des sinks avec des cas concrets de failles. - [Exploitation en boite noire d’une vulnérabilité de type désérialisation](https://www.vaadata.com/fr/blog/exploitation-en-boite-noire-dune-vulnerabilite-de-type-deserialisation/) - Découvrez un cas concret d’exploitation en boîte noire d’une vulnérabilité de désérialisation PHP, identifié puis exploité sans accès au code source. - [Injection CRLF : principes, exploitations et bonnes pratiques ](https://www.vaadata.com/fr/blog/injection-crlf-principes-exploitations-et-bonnes-pratiques/) - Qu'est-ce qu'une injection CRLF ? Cet article présente les types d'attaques, les exploitations et les bonnes pratiques sécurité pour se protéger. - [Audit GCP : méthodologie, types de tests et use cases](https://www.vaadata.com/fr/blog/audit-gcp-methodologie-types-de-tests-et-use-cases/) - Audit GCP : méthodologie complète, types de tests et cas pratiques pour évaluer la sécurité de vos applications et infrastructures cloud. - [En-tête Host : attaques, exploitations et bonnes pratiques](https://www.vaadata.com/fr/blog/en-tete-host-attaques-exploitations-et-bonnes-pratiques/) - Dans cet article, nous examinons les principales vulnérabilités liées à l’en-tête « Host », leurs impacts possibles et les bonnes pratiques pour s’en protéger. - [Sécurité AD CS : comprendre et exploiter les techniques ESC](https://www.vaadata.com/fr/blog/securite-ad-cs-comprendre-et-exploiter-les-techniques-esc/) - Cet article présente techniques d'exploitation ESC. Nous détaillons notre méthodologie d’audit d’une infrastructure AD CS, ainsi que les principales failles - [TLPT (Threat-Led Penetration Testing) : objectifs, méthodologie et enjeux](https://www.vaadata.com/fr/blog/tlpt-threat-led-penetration-testing-objectifs-methodologie-et-enjeux/) - Cet article explore les principes et objectifs d’un TLPT (Threat-Led Penetration Testing), détaille la méthodologie et les enjeux réglementaires (DORA, NIS 2) - [PRT (Primary Refresh Token): How it Works and Exploitation Techniques](https://www.vaadata.com/fr/blog/prt-primary-refresh-token-fonctionnement-et-exploitation/) - This article explains how the Primary Refresh Token (PRT) works, the main methods of exploitation, and the measures that can be taken to mitigate the risks - [PRT (Primary Refresh Token) : fonctionnement et exploitation](https://www.vaadata.com/fr/blog/prt-primary-refresh-token-fonctionnement-et-exploitation/) - Cet article présente le fonctionnement du Primary Refresh Token (PRT), les principales approches d’exploitation et les mesures permettant de réduire les risques - [EDR (Endpoint Detection and Response): How It Works and Detection Mechanisms](https://www.vaadata.com/fr/blog/edr-endpoint-detection-and-response-fonctionnement-et-mecanismes-de-detection/) - Traditional antivirus solutions are now facing increasingly effective evasion techniques. From payload obfuscation and shellcode encryption to the use of legitimate system tools (LOLBins), attackers have a wide range of methods at their disposal to bypass static detection mechanisms. In the face of these evolving threats, Endpoint Detection and Response (EDR) solutions have established themselves - [EDR (Endpoint Detection and Response) : fonctionnement et mécanismes de détection](https://www.vaadata.com/fr/blog/edr-endpoint-detection-and-response-fonctionnement-et-mecanismes-de-detection/) - Qu'est-ce qu'un EDR ? Dans cet article, nous présentons l'architecture interne et le fonctionnement des EDR ainsi que les différents mécanismes de détection - [Cyber Threat Intelligence: Objectives and Methodology](https://www.vaadata.com/fr/blog/cyber-threat-intelligence-principes-et-methodologie/) - Cyber Threat Intelligence: discover the principles, types of CTI and a comprehensive methodology for anticipating threats and strengthening your security. - [Cyber Threat Intelligence : principes et méthodologie](https://www.vaadata.com/fr/blog/cyber-threat-intelligence-principes-et-methodologie/) - Cyber Threat Intelligence : découvrez les principes, types de CTI et méthodologie complète pour anticiper les menaces et renforcer votre sécurité. - [What is LDAP Injection? Exploitations and Security Best Practices](https://www.vaadata.com/fr/blog/injection-ldap-principes-exploitations-et-bonnes-pratiques-securite/) - What is an LDAP injection? This article explains how they work, provides examples of attacks, and outlines security best practices to protect yourself - [Debug Ports: How They Work, Types and Security Risks in IoT Systems](https://www.vaadata.com/fr/blog/ports-de-debug-fonctionnement-types-et-risques-de-securite-dans-les-systemes-iot/) - What is a debug port? In this article, we explain the main types of ports, how they work, and the security risks related to IoT systems. - [Ports de debug : fonctionnement, types et risques de sécurité dans les systèmes IoT](https://www.vaadata.com/fr/blog/ports-de-debug-fonctionnement-types-et-risques-de-securite-dans-les-systemes-iot/) - Qu’est-ce qu’un port de debug ? Dans cet article nous détaillons les principaux types de ports, leur fonctionnement ainsi que le risque de sécurité dans l'IoT ## Pages - [Accueil](https://www.vaadata.com/fr/) - Vaadata, expert en sécurité offensive, réalise des pentests, audits Red Team et exercices Assumed Breach pour évaluer et renforcer votre cybersécurité. - [Mentions légales](https://www.vaadata.com/fr/mentions-legales/) - Edition du site internet Le site https://www.vaadata.com (ci-après "le Site") est édité par la société VAADATA (ci-après "l'Editeur"), SARL au capital de 36 000 euros, dont le siège social est situé 33 QUAI ARLOING, 69009 LYON.RCS 797 558 590 LYONTVA intracommunautaire n° FR 62 797 558 590Organisme de formation enregistré sous le numéro 82 69 - [Legal notices](https://www.vaadata.com/fr/mentions-legales/) - Publishing The website https://www.vaadata.com (hereinafter referred to as “the website”) is published by VAADATA (hereinafter referred to as “the Publisher”), a public limited company with 36,000 EUR capital, whose head office is at 33 QUAI ARLOING, 69009 LYON, France. French company registration No.: RCS 797 558 590European VAT number: FR 62 797 558 590 Website - [À propos](https://www.vaadata.com/fr/a-propos/) - Vaadata accompagne depuis 10 ans plus de 800 clients en sécurité offensive : pentest, red team, assumed breach. Expert certifié ISO 27001, PASSI et CREST. - [Pentest d'Ingénierie Sociale](https://www.vaadata.com/fr/pentest/pentest-ingenierie-sociale/) - Pentest d’ingénierie sociale : évaluez les réflexes cybersécurité de vos équipes avec des campagnes de phishing, vishing, smishing, tests d'intrusion physique - [Pentest Application Mobile iOS et Android](https://www.vaadata.com/fr/pentest/pentest-application-mobile/) - Réalisez un pentest mobile (tests d'intrusion d'applications iOS et Android) pour tester la résistance de vos systèmes aux attaques réelles. - [Pentest IoT](https://www.vaadata.com/fr/pentest/pentest-iot-objets-connectes/) - Réalisez un pentest IoT pour identifier et corriger des vulnérabilités sur tout l'écosystème de vos objets connectés : hardware, firmware, serveurs, APIs - [Pentest infrastructure et réseau](https://www.vaadata.com/fr/pentest/pentest-infrastructure-reseau/) - Pentest infrastructure et réseau : évaluez et renforcez la résilience de votre votre infrastructure externe et de votre réseau interne (serveurs, AD, WI-FI...) - [Red Team](https://www.vaadata.com/fr/red-team/) - Testez la cyber-résilience de votre organisation avec un audit Red Team : tests d’ingénierie sociale, audit global de vos systèmes, réseaux, services, etc. - [Pentest Cloud](https://www.vaadata.com/fr/pentest/pentest-cloud/) - Pentest cloud : testez et renforcez la sécurité de vos infras cloud (AWS, Azure, GCP, etc.) et de toutes leurs composantes (stockages, clusters Kubernetes, etc. - [Pentest Web](https://www.vaadata.com/fr/pentest/pentest-web/) - Réalisez un pentest web pour tester et renforcer la sécurité de vos sites, plateformes et applications web, serveurs, APIs et webservices. - [About Vaadata](https://www.vaadata.com/fr/a-propos/) - Vaadata has supported over 800 clients with offensive security services: penetration testing, red team, assumed breach. Certified ISO 27001, PASSI and CREST. - [Social Engineering Penetration Testing](https://www.vaadata.com/fr/pentest/pentest-ingenierie-sociale/) - Social engineering penetration testing: assess your teams' cybersecurity reflexes with phishing, vishing, smishing and physical intrusion testing campaigns. - [Cookies](https://www.vaadata.com/fr/cookies/) - We and our partners use cookies to operate and administer our Website, facilitate your use of the Website on future visits, and collect usage data on our Website. What are cookies? A "cookie" is a piece of information sent to your browser by a website you visit. We use cookies to operate and administer our - [Cookies](https://www.vaadata.com/fr/cookies/) - Nous et nos partenaires utilisons des cookies pour faire fonctionner et administrer notre Site, faciliter votre utilisation du Site lors de vos prochaines visites, et recueillir des données d'utilisation sur notre Site. Que sont les cookies ? Un "cookie" est un élément d'information envoyé à votre navigateur par un site web que vous visitez. Nous - [IoT Penetration Testing](https://www.vaadata.com/fr/pentest/pentest-iot-objets-connectes/) - IoT penetration testing: Identify and fix vulnerabilities in your connected devices: hardware, firmware, communication protocols, web and mobile interfaces. - [Cloud Penetration Testing](https://www.vaadata.com/fr/pentest/pentest-cloud/) - Cloud Penetration Testing: assess and strengthen the security of your cloud environments (AWS, Azure, GCP, etc.) and all their components. - [Infrastructure and Network Penetration Testing](https://www.vaadata.com/fr/pentest/pentest-infrastructure-reseau/) - Infrastructure and network penetration testing: assess and strengthen the resilience of your external infrastructure and internal network - [Mobile App Penetration Testing](https://www.vaadata.com/fr/pentest/pentest-application-mobile/) - Carry out a mobile app penetration test (iOS and Android) to test the resilience of your systems to real attacks. Our offensive security experts detect - [Web App Penetration Testing](https://www.vaadata.com/fr/pentest/pentest-web/) - Carry out a web application penetration test (black box, grey box or white box) to assess and enhance the security of your web apps, websites, servers, APIs. - [Contact](https://www.vaadata.com/fr/contact/) - Contactez-nous pour obtenir un devis pour un pentest (test d'intrusion), un audit red team, un exercice assumed breach ou toute autre info sur nos services - [Contact](https://www.vaadata.com/fr/contact/) - Contact us for a quote for a penetration test, a red team assessment, an assumed breach exercise, or for any further information about our services - [Ebooks & White Papers](https://www.vaadata.com/fr/ebooks-livres-blancs/) - How to Define the Scope of a Pentest? The objective of this white paper is to provide you with various information to help you define a pentest strategy that suits the challenges of your industry, your organisation and your systems and applications. Download the white paper How to Identify Data Leaks on the Dark Web? - [Assumed Breach](https://www.vaadata.com/fr/assumed-breach/) - Réalisez un exercice Assumed Breach avec Vaadata pour évaluer et renforcer vos capacités de détection, de réaction et de résilience face à une compromission. - [Assumed Breach](https://www.vaadata.com/fr/assumed-breach/) - Conduct an Assumed Breach exercise with Vaadata to assess and strengthen your detection, response and resilience capabilities in the event of a breach. - [Red Teaming](https://www.vaadata.com/fr/red-team/) - Increase your organisation's cyber resilience with a Red Teaming assessment: social engineering, comprehensive audit of your systems, networks, services, etc. - [Pentest - Tests d'Intrusion](https://www.vaadata.com/fr/pentest/) - Pentest (tests d’intrusion) par un expert certifié. Évaluez et renforcez la sécurité de vos apps, infrastructure, réseaux, cloud grâce à une approche sur mesure - [Penetration Testing Services](https://www.vaadata.com/fr/pentest/) - Penetration testing services carried out by certified experts. Assess and strengthen the security of your apps, infrastructure, networks and cloud services - [Home](https://www.vaadata.com/fr/) - Vaadata, an offensive security expert, performs pentesting, red teaming, and assumed breach to identify your vulnerabilities and strengthen your security - [Join us](https://www.vaadata.com/fr/a-propos/recrutement/) - [Ebooks & Livres blancs](https://www.vaadata.com/fr/ebooks-livres-blancs/) - Comment définir le scope d'un pentest ? L’objectif de ce livre blanc est de vous fournir différentes informations permettant de définir une stratégie de pentest adaptée aux enjeux de votre secteur d'activité, de votre organisation et de vos systèmes et applications. Télécharger le livre blanc Comment identifier des fuites de données sur le dark web - [Privacy Policy](https://www.vaadata.com/fr/confidentialite/) - [Recrutement](https://www.vaadata.com/fr/a-propos/recrutement/) - Nous recrutons chaque année de nouveaux talents passionnés. Profils recherchés Consultants en sécurité / Pentesters Nous recrutons des passionnés de sécurité offensive, avec un bon niveau technique, acquis via une expérience professionnelle et/ou de la veille et des challenges effectués sur du temps personnel (CTFs, bug bounty, labs, préparation de certifications …). Ingénieurs avant-vente Nous - [Webinars](https://www.vaadata.com/fr/webinars/) - Sécurité de la supply chain : quand l’un de vos prestataires devient le maillon faible ! Dans le cadre de sa certification ISO 27001, Vaadata a structuré son processus de gestion des fournisseurs (SaaS, services IT, partenaires externes…). Lors de ce webinar, nous partageons notre retour d’expérience sur la mise en place d’un processus de - [Confidentialité](https://www.vaadata.com/fr/confidentialite/) - [Blog](https://www.vaadata.com/fr/blog/) - [Resources](https://www.vaadata.com/en/resources/) - [Raise an alert](https://www.vaadata.com/fr/lancer-une-alerte/) - [Lancer une alerte](https://www.vaadata.com/fr/lancer-une-alerte/) ## Catégories - [Infra & Réseaux](https://www.vaadata.com/fr/blog/category/infra-reseaux/) - [Cloud](https://www.vaadata.com/fr/blog/category/cloud/) - [Apps Web & Mobiles](https://www.vaadata.com/fr/blog/category/apps-web-mobiles/) - [Objets Connectés (IoT)](https://www.vaadata.com/fr/blog/category/objets-connectes-iot/) - [Phishing & Ingénierie sociale](https://www.vaadata.com/fr/blog/category/ingenierie-sociale/) - [Phishing & Ingénierie sociale](https://www.vaadata.com/fr/blog/category/ingenierie-sociale/) - [Objets Connectés (IoT)](https://www.vaadata.com/fr/blog/category/objets-connectes-iot/) - [Infra & Réseaux](https://www.vaadata.com/fr/blog/category/infra-reseaux/) - [Cloud](https://www.vaadata.com/fr/blog/category/cloud/) - [Apps Web & Mobiles](https://www.vaadata.com/fr/blog/category/apps-web-mobiles/)