Actualités

Code of the Week #2: The Hidden Flaws

dans Code review
Hey, everyone! It’s time for the second episode of our “Code of the Week” journey, where we zero in on the more obscure, yet critical vulnerabilities lurking in our codebases. This week, we’re shed light on a subtler, yet potentially devastating issue. In this episode, we’re delving into the world of thread safety and authentication mechanisms, focusing on a vulnerability that arises from using static class attributes in a multithreaded environment.

Continuer

Code of the Week #1: The Hidden Flaws

dans Code review
Hey everyone! Welcome to the first installment of “Code of the Week,” where we dive deep into the lesser-seen side of coding vulnerabilities. We’re skipping past the usual suspects like SQL injections and XSS because, let’s face it, there’s enough out there on those already. Instead, we’re on the lookout for those sneaky, hidden flaws that don’t get enough spotlight but can cause just as much trouble. The goal here is simple: spot those tricky bugs, understand why they’re a problem, figure out how to fix them, and learn how to catch them automatically next time.

Continuer

RealWorldCTF: OKPROOF - Write Up

dans Write-Up
Write-Up for the cryptanalysis challenge from the RealWorld (2023) Context What’s the RealWorld CTF? “All challenges are built on the top of real world applications. Hack the Real. Super Hunters Conquer Together.” - Their site Most of the time the challenges are based on 0days to find or 1days in more or less known github projects. This CTF is renowned for being one of the hardest in the world. (see the Zerotistic article from the previous week, which deals with a complicated 2024 pwn/low-level challenge).

Continuer

RealWorldCTF: Let's party in the house - Write Up

dans Write-Up
Let’s party in the house - pwn Write-Up This weekend, the RealWorld CTF happened. This is one of the most famous and prestigious CTF in the world. I played with “Friendly Malteze Citizens” and took 3rd place. This article is a write-up of the challenge “Let’s party in the house”, which was a binary exploitation challenge of difficulty “Schrödinger” (Rating is the following: baby/medium/hard/schrödinger). We were one of the only six team to solve it.

Continuer

From Zero to Hero: A Active Directory adventure, part 1

dans Pentest
C’est quoi Active Directory ? Active Directory (AD) est un service d’annuaire développé par Microsoft utilisé pour gérer les environnements Windows. Il permet une gestion centralisée des ressources d’une organisation, comme les utilisateurs, les ordinateurs, les groupes, les partages de fichiers, etc. AD est un composant essentiel pour la gestion des identités et des accès au sein d’une entreprise. Il permet de gérer les comptes utilisateurs, les mots de passe, les droits d’accès et de contrôler comment les utilisateurs et les ordinateurs accèdent aux ressources présentes dans l’environnement.

Continuer

Rediscovering vulnerabilities with CodeQL MRVA

dans Vulnerability Research, Code review
A while ago, a friend sent me a link to a blog post by Maikypedia titled “Finding Vulnerabilities with MRVA CodeQL”. I found myself captivated by CodeQL and MRVA, prompting me to embark on a deeper exploration. In this article, my aim is to guide you through the journey of configuring MRVA, crafting a CodeQL query designed to uncover LDAP injection vulnerabilities, and sharing my discovery of such a vulnerability within a GitHub repository boasting over 24,000 stars.

Continuer

AzureKitty, outil d'audit de configuration Azure et Office 365

dans Outils
AzureKitty est un outil permettant d’auditer une configuration Azure et/ou Office 365 de manière automatisée puis de fournir un rapport sous forme de fichier Excel. AzureKitty? Qu’est-ce que c’est exactement ? Il s’agit d’un outil qui examine votre environnement cloud Microsoft. Il compare ensuite les paramètres de configuration en place aux références de sécurité du CIS (Center for Internet Security) spécifiques à Azure et Office 365. Les contrôles d’audit qu’AzureKitty teste sont issus des benchmarks CIS portant sur Office 365 et Azure à l’état de l’art.

Continuer

Photo de l'auteur

Hackcyom est une entreprise de conseil en cybersécurité et secure cloud computing.

Hackcyom est une société d’expertise en sécurité de l’information financée par des fonds privés et indépendante basée à Paris, en France. Grâce à notre expertise et à notre méthodologie, nous offrons des services de conseil, d’audit, d’ingénierie et d’innovation en cybersécurité hautement qualifiés. Nous sommes fiers de nous spécialiser dans des projets de sécurité de l’information très complexes et stimulants. L’une de nos spécialisations aide les opérateurs cloud à concevoir et sécuriser leurs services et infrastructures. En France, Hackcyom est le leader unique dans le domaine de niche de la sécurité d’information standard et souveraine ANSSI SecNumCloud. Faire confiance à un opérateur cloud soulève de nombreux problèmes et nous sommes là pour aider à y faire face. Hackcyom fournit également des services de sécurité de l’information, y compris des services d’audit, des tests de pénétration, une analyse des risques (EBIOS Risk Manager), une ingénierie sécurisée, un conseil SDLC, un conseil en gestion du chiffrement, etc. Hackcyom se prononce comme “axiome”, le terme mathématique parce que nous aimerions que nos clients travaillent et se concentrent sur leurs entreprises en tenant leur sécurité de l’information pour acquise grâce à nous.


10 rue de la Paix, 75002 Paris