Content Security Policy (CSP) : techniques de contournement et bonnes pratiques sécurité

Content Security Policy (CSP) est une mesure de sécurité essentielle pour protéger les applications web contre certains types d’attaques. En définissant des règles strictes sur les ressources qu’un navigateur peut charger, une CSP limite en effet les vecteurs d’attaque potentiels.

Cependant, une Content Security Policy mal configurée peut être contournée, rendant l’application vulnérable.

Object injection : principes, exploitations et bonnes pratiques sécurité

L’injection d’objet (object injection) est une vulnérabilité applicative qui survient lorsqu’une application désérialise des données non fiables.

Si un attaquant parvient à injecter un objet malveillant, il peut en exploiter les propriétés pour exécuter du code arbitraire, voler des données, modifier le comportement de l’application ou encore manipuler des fichiers à distance. En d’autres termes, cette faille peut entraîner une compromission totale du système ciblé.

Kerberoasting : comprendre l'attaque et les mesures de protection

Le Kerberoasting est une attaque courante dans les environnements Active Directory. Elle s’appuie sur une faiblesse du protocole Kerberos, mais son exploitation nécessite des configurations spécifiques.

Dans cet article, nous expliquerons le principe et le fonctionnement de l’attaque Kerberoasting. Nous verrons comment identifier et exploiter un environnement vulnérable, ainsi que les méthodes pour s’en protéger.

Recherche de secrets : techniques et outils

Avant d’aborder les techniques et outils, il est essentiel de définir ce que sont les « secrets » recherchés lors des tests d’intrusion.

Ces secrets sont généralement des chaînes de caractères privées, qui, si elles sont compromises, permettent d’accéder à un système, de casser un chiffrement, ou de forger des données utiles à l’authentification. Il peut s’agir, par exemple, d’un couple identifiant et mot de passe, de clés d’API, de clés privées, ou d’un jeton de session encore valide.