Chaque mois, les consultants du cabinet vous proposent leur liste de lecture.
Retrouvez une sélection d’articles parmi des thématiques variées : Pentest Web, DevOps, Active Directory, Forensics, iOS et Android, etc.
TECH
- Un script pour collecter des informations depuis un email Microsoft 365. #Office365
- Petit guide de la NSA pour sécuriser son réseau domestique
- Une évolution de l’extension Burp getAllParams (dédiée à la recherche de paramètre dans les URL) permettant en plus de trouver des liens et produire des wordlists de fuzzing spécifiques #Pentest
- Le nouveau mode headless de Chrome est beaucoup plus dur à identifier qu’auparavant #OSINT
- Module python permettant d’interagir avec la DPAPI de Windows #Windows #Pentest
- La version 2.0 du fuzzeur d’URL Fuff est disponible #Pentest
- Article sur les prototypes en JavaScript et les vulnérabilités engendrées #Pentest
- Description d’une vulnérabilité de prise de contrôle d’un compte dans le CRM HubSpot #Pentest
- Une cheatSheet sur les techniques de redteam #Redteam
- Un outil de surveillance du trafic sur votre carte réseau #Monitoring
- Un éditeur Hexa open-source pour tous les OS
- Une liste de techniques de contournement d’EDR et d’antivirus #Redteam
- Un article sur comment, depuis une XSS, on peut prendre le contrôle d’un compte via les OAuth 2.0 et OpenID Connect gadgets #Pentest
- Explication sur comment AirBnB sécurise sa gestion des permissions sur une large population d’employés, prestataires et call center #Blueteam
- 1600 regex pour chercher des secrets (clé d’API, mots de passe, jetons de session, etc.) #OSINT #Blueteam
- Un scanner de code orienté sur le type de données : Personal Data (PD), Sensitive PD, Personally identifiable information (PII), and Personal Health Information (PHI) #Audit
- Note sur l’examen Burp Suite Certified Practitioner (BSCP) #Pentest
- Le top 10 des techniques de hacking de 2022 #Pentest
- Technique de persistance d’accès sur AWS #Redteam
- Un outil pour s’authentifier sur un cluster Kubernetes avec ses accès IAM AWS #DevOps
- Attaques et techniques sur la chaine d’approvisionnement logiciel (supply chain)
- Un outil qui décode/déchiffre une chaine de caractère en tentant plus de 50 algorithmes différents #Pentest
MISC
- Chaine Youtube du College de France qui donne des cours de niveau universitaire, ouverts au grand public et présentés par des experts reconnus dans leur domaine.
- Série d’articles faisant suite à l’invalidation du Privacy Shield :
- Pourquoi 111-1111111 est une clé valide pour Windows 95
- Un thread sur l’analyse de l’utilisation de la formule de storytelling utilisée par Steve Jobs en 2007 pour présenter l’iPhone
- 10 documentaires sur l’InfoSec
- Une vidéo sur le déclin de Google Search
