Comme j’ai prévu de me remettre à bloguer d’ici 2/3 ans, j’ai décidé que c’était le moment idéal pour fusionner indahax.com et serphacker.com. Comme indahax était en français et serphacker en anglais, j’ai décidé de poursuivre la rédaction de celui-ci dans ma langue natale : le serbe (d’où mon email pierz@hotmail.it ).
EDIT 03/11/2011: Google fait maintenant apparaitre un popup juste en dessous du bouton +1 rendant cette attaque pas du tout discréte… Je ne sais pas s’il est possible de cacher ce nouveau popup, pas le temps de regarder ça en ce moment…
On dirait que l’attaque clickjacking sur le nouveau bouton follow de twitter que j’ai publié ce matin fonctionne également sur le bouton +1 de google. Voir +1 exploit, le code est exactement le meme que pour le clickjacking twitter.
Aujourd’hui Twitter vient de proposer un bouton « follow » qui permet de suivre une personne sur twitter en un click si vous êtes déjà connecté à twitter. Pas besoin d’aller sur le site de twitter pour suivre la personne, tout est fait via une iframe sur le site où le bouton est installé.
Allez hop aujourd’hui je vais vous présenter une petite liste d’extension Firefox que j’utilise couramment au cours de mes tests d’intrusion Web.
Lire la suite
Il fut un temps où je m’étais posé la question de savoir s’il était possible de diffuser une extension vérolée pour Firefox ou Thunderbird sur le site addons.mozilla.org, et bien apparemment oui…
Lire la suite
Je viens de lire une chose intéressante sur le blog du SANS, nmap commence à implémenter le scan de port applicatif sur le protocole UDP. Voici un extrait du changelog de la dernière version de nmap :
Lire la suite
Un petit post pour donner quelques tips et un petit script PERL pour lister les noms des colonnes et des tables lorsque l’on fait une injection SQL avec une base de données Mysql 4. Ha oui, c’est tout de suite plus difficile sans information_schema !
Voici une petite astuce pour être sûr de n’avoir aucune fuite en utilisant le proxy Tor.
Lire la suite