Xss

2025-09-10Sécurité

What is CRLF Injection? Exploitations and Security Tips

Les injections CRLF représentent une vulnérabilité souvent sous-estimée, consistant à insérer des caractères de contrôle de fin de ligne dans les requêtes ou réponses. Cela peut entraîner des fuites d'informations sensibles et compromettre la fiabilité d'un système. Cet article examine cette vulnérabilité en détail, notamment ses différents types d'exploitation, tels que les injections de headers SMTP, les injections dans les logs et les attaques XSS. Des pratiques de sécurité pour se protéger contre ces failles sont également abordées.

www.vaadata.com

xss

2025-08-13Sécurité

Locking Down My Java Apps: A Developer’s Journey to Spot and Patch Vulnerabilities

Cet article raconte le parcours d'un développeur Java qui a appris l'importance de la sécurité dans le développement d'applications. Il partage ses expériences concernant divers types de vulnérabilités, notamment les injections SQL, les attaques XSS et CSRF, ainsi que des solutions pratiques pour sécuriser les applications Java.

medium.com

xss

2025-03-26Sécurité

Déployer CSP : une approche en 5 étapes

L'article explique l'importance de la Content Security Policy (CSP) pour sécuriser les sites web contre les attaques XSS. Il offre des conseils pratiques et décrit une méthode d'implémentation en cinq étapes, soulignant que la sécurité est un processus évolutif et que chaque déploiement doit être adapté aux besoins spécifiques de chaque site. L'auteur encourage à bien connaître les ressources utilisées sur le Front-End avant de mettre en place des directives CSP.

www.alsacreations.com

xss

2024-10-16Sécurité

Bypassing Whitelists With XSS Payloads in Attributes

Cet article explore les scénarios d'attaque XSS où des filtres de type whitelist, comme ceux utilisés par WordPress (wp_kses), peuvent être contournés. Malgré la robustesse de wp_kses contre l'injection de scripts, l'article montre qu'il est possible d'injecter des éléments HTML, comme les balises <svg> et des payloads, en utilisant des techniques astucieuses et en manipulant les attributs d'éléments HTML. Une démonstration et des exemples de payloads sont fournis, mettant en lumière les vulnérabilités potentielles dans les filtres de sécurité et les applications web.

brutelogic.com.br

xss

2024-05-13Sécurité

Exploring LLM Vulnerabilities and Security Best Practices

Cet article explore les vulnérabilités liées à l'intégration des modèles de langage de grande taille (LLMs) dans les systèmes d'information. Il identifie les risques de sécurité tels que l'injection de prompts et la divulgation d'informations sensibles, tout en proposant des bonnes pratiques pour se protéger contre ces menaces. Une attention particulière est accordée à la gestion des entrées utilisateurs et aux méthodes pour valider les prompts avant leur traitement par le LLM. L'article souligne l'importance d'un traitement rigoureux des sorties générées pour éviter des failles comme l'exécution de code à distance.

www.vaadata.com

xss

2023-08-07Sécurité

Exploiting an LFI (Local File Inclusion) Vulnerability and Security Tips

Cet article explique la vulnérabilité d'inclusion de fichiers locaux (LFI) où un attaquant peut exploiter une fonctionnalité pour inclure des fichiers du système, pouvant mener à l'exécution de code ou à l'accès d'informations sensibles. Des méthodes de prévention comme la validation des paramètres, l'utilisation de basename en PHP, et des mécanismes pour éviter l'enregistrement d'informations sensibles dans les fichiers logs sont également abordées.

www.vaadata.com

xss

2023-04-12Sécurité

What is Session Hijacking? Types of attacks and exploitations

Cet article aborde les différents types d'attaques de détournement de session, telles que l'exploitation des vulnérabilités XSS, la fixation de session, et le contournement de l'authentification multi-facteurs. Il explique comment ces techniques permettent de voler des identifiants de session et d'accéder à des comptes utilisateurs sans avoir besoin de leurs mots de passe. Les implications de la gestion de session et de l'importance du chiffrement HTTPS sont également discutées.

www.vaadata.com

xss

2022-07-21Sécurité

Tag Blending Obfuscation In Property-Based Payloads

Cet article aborde l'utilisation de techniques d'obfuscation pour contourner les filtres de sécurité et les WAF (Web Application Firewalls) à travers des charges utiles basées sur des propriétés du DOM, telles que 'innerHTML' et 'outerHTML'. Différentes méthodes de découpage et d'encodage sont décrites pour rendre les attaques de type XSS (Cross-Site Scripting) plus difficiles à détecter. L'importance de la technique de blending de balises pour créer des charges utiles complexes mais efficaces est également discutée.

brutelogic.com.br

xss

2022-02-09Sécurité

A Curious Glitch in XSS Sanitizing

Cet article explore un bogue curieux dans la désinfection XSS, mettant en lumière des nuances des fonctions PHP 'htmlentities' et 'htmlspecialchars' et comment une injection de caractère invalide peut permettre de contourner certaines protections XSS. À travers des scénarios pratiques, il démontre comment une mauvaise gestion des caractères peut potentiellement nuire à la sécurité des applications Web, rendant la compréhension de ces mécanismes cruciale pour les développeurs et les chercheurs en sécurité.

rodoassis.medium.com

xss