Je suis roro — ingénieur appsec et chercheur indépendant. Ici, j'écris sur les vulnérabilités que je trouve, je publie des petits outils, et je réfléchis à voix haute sur comment le logiciel moderne casse vraiment.
Une reference technique approfondie sur le fonctionnement interne de Semgrep -- du point d'entree CLI a la decouverte des cibles, en passant par le parsing, la normalisation de l'AST, le pattern matching et l'analyse de taint dataflow, jusqu'au formatage de la sortie.
Une reference technique approfondie sur le fonctionnement interne de Semgrep -- du point d'entree CLI a la decouverte des cibles, en passant par le parsing, la normalisation de l'AST, le pattern matching et l'analyse de taint dataflow, jusqu'au formatage de la sortie.
Synthese Challenge : Thread of Doom Categorie : Reverse Engineering Flag : NHK26{VirtualProtect_Overwritten} Binaire : NHK_CrackMe_V3.exe (PE32, x86, 43520 …
Cet article est le fruit d'un entraînement OffenSkill. Il traite d'une vulnérabilité de lecture arbitraire de fichiers non authentifiée découverte dans le logiciel Enketo, un gestionnaire d'enquêtes web. La vulnérabilité, trouvée lors d'une session de revue de code en boîte blanche, permet à un attaquant non authentifié de lire n'importe quel fichier sur le serveur en chaînant un auth bypass, un SSRF, un XXE dans un SVG et des abus de navigateur.
Synthese Challenge : HalCrypto Categorie : Securite Web Vulnerabilite : Contournement de la validation JWT via confusion d’URL avec le symbole @ Impact : …
Résumé exécutif Défi : PageOneHTML Catégorie : Sécurité Web Vulnérabilité : Server-Side Request Forgery (SSRF) via le protocole gopher:// Impact : Accès à un …
Quand j’ai commence a developper des outils pour l’audit de code source, mon besoin principal etait de suivre les flux de donnees corrompues …
Environ un email par mois. Se désabonner en un clic.
