Exploitation des injections de template dans Django

Magazine
Marque
MISC
Numéro
93
|
Mois de parution
septembre 2017
|
Domaines


Résumé
Il n'est pas rare, lors d'un test d'intrusion sur une application web, de découvrir des vulnérabilités de type injection de template côté serveur. Suivant le moteur de templating utilisé, l'exploitation peut être plus ou moins ardue. Cet article propose des techniques d'exploitation appliquées aux moteurs utilisés par le framework Django.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Extraction des secrets de lsass à distance

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

Le mouvement latéral est une composante essentielle des tests d’intrusion. Cette phase peut être fastidieuse si les cibles sont correctement protégées. L’outil « lsassy » répond à ce besoin en permettant d’extraire à distance les secrets présents sur des machines.

Mécanismes de défense en profondeur de Safari sur iOS

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

Les navigateurs sont depuis plusieurs années une cible de choix pour obtenir une exécution de code arbitraire initiale dans la chaîne de compromission d’un équipement « client », que ce soit une station de travail classique ou un smartphone. La prolifération des vulnérabilités et techniques d’exploitation encourage les éditeurs à mettre en place de la défense en profondeur afin de supprimer des classes entières de vulnérabilités ou rendre leur exploitation particulièrement complexe.

Introduction au dossier : Sécurité des navigateurs web : où en sommes-nous ?

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

Il y a maintenant 5 ans, MISC dédiait un dossier complet à la sécurité des navigateurs web [1]. Il y était traité de sandboxing sous Firefox, de JIT, de cloisonnement JavaScript, d’exploitation du navigateur Chrome sous Android. Une grande partie de ce qui a été écrit à l’époque est encore en partie valide et je vous invite à y jeter un œil si vous ne connaissez pas déjà ce dossier.

Par le même auteur

Exploitation des injections de template dans Django

Magazine
Marque
MISC
Numéro
93
|
Mois de parution
septembre 2017
|
Domaines
Résumé
Il n'est pas rare, lors d'un test d'intrusion sur une application web, de découvrir des vulnérabilités de type injection de template côté serveur. Suivant le moteur de templating utilisé, l'exploitation peut être plus ou moins ardue. Cet article propose des techniques d'exploitation appliquées aux moteurs utilisés par le framework Django.

Techniques et outils pour la compromission des postes clients

Magazine
Marque
MISC
HS n°
Numéro
12
|
Mois de parution
octobre 2015
|
Domaines
Résumé

Les attaques sur les postes clients via spear phishing sont à la base de nombreuses APT. Pourquoi ? À cause de leur facilité. Dans un monde où les systèmes sont de mieux en mieux sécurisés, l'humain reste toujours exploitable. Ainsi, il convient de s'en protéger, ou tout du moins de tester le degré d'exposition de son organisation face à cette menace, d'où l'intérêt d'intégrer des campagnes de phishing aux tests d'intrusion.