Code of the Week #7: Asymmetrical Integer

dans Code review
Welcome back to “Code of the Week,” where we explore the often hidden and subtle vulnerabilities in our codebases. This week, we’re tackling an issue in C programming that arises from the nuanced behavior of signed integers. The code The challenge is to identify the vulnerability in the following C function, which reads data from a network socket: #define MAX_PACKET 1024 char *read_data(int sockfd) { char buf[MAX_PACKET]; int length = network_get_int(sockfd); if(length < 0) length *= -1; if(length >= MAX_PACKET) exit(-1); if(read(sockfd, buf, length) <= 0) exit(-1); /* .

Continuer

Code of the Week #3: The Hidden Flaws

dans Code review
Welcome back to our “Code of the Week” series! This is the third installment where we continue our deep dive into the less obvious, but equally critical, vulnerabilities hidden within our code. Today, we’re going to uncover another sneaky issue that, much like our previous episodes, might be sitting unnoticed, ready to cause havoc under the right circumstances. This time around, we’re examining a scenario that’s commonplace in many applications but contains a subtle flaw that could lead to significant vulnerabilities, especially when handling user input and array indexing.

Continuer

Hackcyom est une entreprise de conseil en cybersécurité et secure cloud computing.

Hackcyom est une société d’expertise en sécurité de l’information financée par des fonds privés et indépendante, basée à Paris, en France. Grâce à notre expertise et à nos méthodologies, nous offrons des services de conseil, d’audit, d’ingénierie et d’innovation en cybersécurité hautement qualifiés. Nous sommes fiers de nous spécialiser dans des projets de sécurité de l’information très complexes nécessitant expertise et tact. L’une de nos spécialisations aide les opérateurs cloud à concevoir et sécuriser leurs services et infrastructures. En France, Hackcyom est le leader dans le domaine de niche du conseil sur la sécurité de l’information des clouds souverains (qualifiés ou candidats à la qualification SecNumCloud). Nous intervenons aussi sur le conseil sur d’autres qualification comme PAMS, PDIS, ISO27001, NIS2, DORA, etc. Hackcyom fournit également services d’audit, des tests d’intrusion, une analyse des risques (EBIOS Risk Manager), du conseil et de l’assistance en ingénierie sécurisée, du conseil SDLC, du conseil en gestion du chiffrement, etc. Hackcyom se prononce comme “axiome”, le terme mathématique parce que nous aimerions que nos clients travaillent et se concentrent sur leurs métiers en considérant leur sécurité de l’information acquise grâce à nous.


10 rue de la Paix, 75002 Paris