Nuit Du Hack 2010 – Bilan

20 juin 2010 – 22:28
La Nuit Du Hack 2010 est déjà finie... Courte et intense sont je pense les deux qualificatifs les plus adaptées à cet événement qui a battu une fois de plus ses records en terme de fréquentation. Je n'ai pas encore les chiffres exacts, mais nous avons enregistré pas moins de 600 entrées. Autant dire que la péniche Concorde Atlantique battait son plein... Comme Silkcut, je vais tenter de faire un petit résumé de l'événement, avec mon point de vue en tant que membre de l'équipe d'organisation.

Classé dans Nuit du hack, Sécurité informatique | 7 commentaires »

Release de XeeK v0.1b

19 juin 2010 – 18:15
Comme promis, voici la toute première release de XeeK, en direct de la Nuit Du Hack 2010. Comme son numéro de version le suggère, il s'agit d'une version BETA donc potentiellement buggée :).

Classé dans Applications, Nuit du hack, Projets | 10 commentaires »

De retour du SSTIC 2010

12 juin 2010 – 14:08
Me voici de retour de l'édition 2010 du SSTIC. C'était la première fois que j'allais à cette excellente conférence, réunissant pas moins de 450 personnes autour de différents thèmes centrés sur la sécurité des systèmes d'information. Au programme : 3 jours de conférences, des rump sessions, un social event, des geeks, des trolls, du code qui défile, bref une super ambiance. Plusieurs personnes ont déjà fait un compte rendu détaillé de chaque conf (qui plus est en temps réel, chapeau à eux !), aussi je ne détaillerai ici que celles que j'ai trouvées les plus marquantes. Ce billet est pour le moment incomplet, il sera terminé très prochainement.

Classé dans Evénement, Sécurité informatique | 7 commentaires »

Résumé partiel des DC18 CTF Quals

24 mai 2010 – 21:29
Contrairement à ce que certains pensent peut-être en voyant ce blog à l'abandon depuis plusieurs mois, non, je ne suis pas mort ! J'ai simplement été assez pris ces derniers temps, et j'essaye au passage de finaliser ma première release de XeeK pour la NDH le 19 juin... Ce week-end, j'ai rapidement participé aux qualifications du CTF de la DefCon 18. Je n'avais pas refait de challenge depuis Insomni'hack 2010 donc je me suis senti obligé de me décrasser un peu le cerveau. Ma participation à ces qualifications est toutefois restée limitée ; n'ayant pas pu m'inscrire à temps j'ai du rejoindre une team à l'arrache (Big-Daddy).

Classé dans CTF, Sécurité informatique | 10 commentaires »

Conférence sur XeeK à la NDH 2010

21 février 2010 – 14:27
Comme certains ont pu le voir sur Twitter ou sur le site de la NDH, j'ai repris le développement de XeeK, un projet de framework d'exploitation de faille XSS. J'ai déjà présenté une ébauche de ce projet à la Nuit Du Hack 2009, que j'ai stoppé entre temps, faute de temps (oui, je sais, c'est mal). Mais rassurez-vous : début janvier, je me suis remis en tête de reprendre ce projet et d'en publier une version stable à la NDH 2010. En attendant la mise en place d'une page dédiée au projet, voici quelques informations sur les nouveautés à venir.

Classé dans Nuit du hack, Projets, Sécurité informatique | 6 commentaires »

George Hotz sera à la Nuit Du Hack 2010

11 février 2010 – 16:41
La Nuit Du Hack 2010 aura lieu le 19 et 20 juin en plein centre de Paris. Comme les autres années, cet événement convivial a pour but de regrouper tous les passionnés de hacking et sécurité informatique, d'échanger librement et de tester ses connaissances par la pratique. Mais par rapport à 2009, cette année réserve son lot de nouveautés... puisque George Hotz présentera une conférence sur le cracking de la PS3 !

Classé dans Evénement, Nuit du hack, Sécurité informatique | 4 commentaires »

Insomni’hack 2010 : HZV won

25 janvier 2010 – 22:42
Ce week-end, c'est avec trois membres de HZV (Crashfr, Virtualabs, et Fluxius) que je me suis rendu à Insomni'hack, un challenge de hacking se déroulant à Genève. Le challenge était au départ individuel, mais nombreux étaient ceux qui, comme nous, s'entre-aidaient. Le but était simple : valider un maximum d'épreuves avant 1h du matin. Au final, c'est notre équipe qui a remporté le challenge. Voici un petit résumé de quelques épreuves intéressantes dont je me rappelle.

Classé dans Evénement, Nuit du hack, Sécurité informatique | 13 commentaires »

Bypassing SEHOP on Windows 7

21 décembre 2009 – 14:59
La protection SEHOP introduite dans Windows Vista et 2008 permet de protéger les applications contre les exploitations de buffer-overflows classiques. Celles-ci consistent en général à écraser non seulement une adresse de retour, mais aussi la structure SEH gérant les exceptions provoquées par l'application, dans le but de rediriger le flux d'exécution vers un shellcode. La protection SEHOP empêche ce type d'exploitation en parcourant au préalable la chaîne des structures SEH et en s'assurant qu'elle soit valide. Jusqu'à maintenant, elle était considérée par beaucoup comme inviolable. Microsoft ont d'ailleurs décidé de l'activer par défaut dans Windows 2008, ainsi que dans Windows Vista et 7 sous forme de fix.

Classé dans Reverse Engineering, Sécurité informatique, Windows | Pas de commentaire »

emiliengirault.fr devient segmentationfault.fr

8 novembre 2009 – 0:29
Comme vous l'avez sûrement constaté, l'adresse de ce blog est désormais www.segmentationfault.fr. La principale raison étant que je trouve que le nouveau titre sonne mieux que l'ancien :). L'ancienne adresse reste valide, mais pensez à mettre à jour vos RSS au cas où.

Classé dans Blog | 1 commentaire »

Exploitation de faille include avec les sessions PHP

16 septembre 2009 – 21:05
Il y a quelques jours, je suis tombé sur un challenge de hack PHP. J'arrive sur une page avec une URL du type www.site.com/index.php?page=main.php,  qui ressemble étrangement à la célèbre faille include. En effet, quelques tests le démontrent. Autre part sur le site, on trouve une page protégée par un .htaccess. Pour le bypasser, on utilise naturellement cette faille include (ou bien cette autre méthode). Mais ce n'est pas tout. Outre le fait qu'on ne puisse pas inclure de page distante (directive allow_url_include activée), l'administrateur n'a pas du tout protégé cette faille include. On peut donc inclure tous les fichiers locaux accessibles...

Classé dans Sécurité informatique, Web | 6 commentaires »

Articles précédents
Blog propulsé par WordPress, thème basé sur Pop Blue traduit par WordPress tuto.