Projets
Nous publions ici des informations sur différents projets intéressants auxquels nous travaillons.
Scanit - Test de sécurité de navigateur. Nous avons créé un site web qui teste les navigateurs Internet pour rechercher leurs vulnérabilités sécuritaires. Ce site est en ligne et opérationnel depuis 2003. C'est le seul test disponible entièrement automatique de la vulnérabilité sécuritaire des navigateurs, portant sur 12 vulnérabilités différentes de Microsoft Internet Explorer, des navigateurs Mozilla et d'Opera. Nous recherchons aussi des bogues dans les plugins de navigateurs tels que Flash et QuickTime.
"Chargement sécurisé de fichiers dans des applications web PHP". Diverses applications web, telles que des blogs, des forums et des galeries de photos permettent aux utilisateurs de charger des fichiers. Il s'est révélé très difficile de fournir une fonction de chargement de fichier sans ouvrir des trous sécuritaires dans des applications web PHP. Cet article décrit divers trous sécuritaires qui apparaissent dans les implémentations de routines de téléchargement de fichiers, et il fournit un exemple de mise en place sécurisée. Les exemples cités dans cet article peuvent être téléchargés ici.
"SSL security in the .be TLD". SSL est fréquemment employé pour sécuriser l'échange d'information sensible, par exemple dans le contexte des applications web (consultées par l'intermédiaire d'URLs "https://"). Cependant, notre expérience nous indique que les occurrences du SSL sont souvent vulnérables à des problèmes d'implémentation ou de configuration qui affaiblissent sensiblement la protection offerte par ce protocole. Cet article examine la sécurité du SSL dans le contexte du domaine ".be", principalement du
point-de-vue des problèmes qui peuvent mener à la vulnérabilité aux attaques du type "man-in-the-middle". Veuillez utiliser notre formulaire afin de tester si votre installation est vulnérable.
Excess est un outil pour tester les systèmes webmails et rechercher des bogues de cross-site scripting.
utilise le l'API de débogage de Windows pour s'attacher à des processus en cours d'exécution et repérer les exceptions. Lorsqu'une exception se produit, il imprime un résumé contenant l'exception, une image du registre, une image de la pile et un listing de déassemblage.
Un système logiciel et matériel pour tester les systèmes RVI (système de réponse vocale interactif) et notamment les codes PIN de messagerie vocale attaquables en force brute.
SNMPblow est un outil pour attaquer en force brute "à l'aveugle" une communauté SNMP et rechercher un fichier de configuration Cisco IOS. Il fait appel à l'usurpation d'adresse IP pour contourner des listes d'accès.