Clément Notin Pentester / Offensive Security Officer I share with you my daily discoveries around pentesting and red teaming.

CVE-2016-5007 Spring Security / MVC Path Matching Inconsistency

CVE-2016-5007 Spring Security / MVC Path Matching Inconsistency feature image

Both Spring Security 3.2.x, 4.0.x, 4.1.0 and the Spring Framework 3.2.x, 4.0.x, 4.1.x, 4.2.x rely on URL pattern mappings for authorization and for mapping requests to controllers respectively. Differences in the strictness of the pattern matching mechanisms, for example with regards to space trimming in path segments, can lead Spring Security to not recognize certain paths as not protected that are in fact mapped to Spring MVC controllers that should be protected. The problem is compounded by the fact that the Spring Framework provides richer features with regards to pattern matching as well as by the fact that pattern matching in each Spring Security and the Spring Framework can easily be customized creating additional differences.

Read more...

[french] Conférence "Les outils du test d'intrusion"

[french] Conférence "Les outils du test d'intrusion" feature image

Je suis intervenu chez While42 pour une conférence “Les outils du test d’intrusion”. Retrouvez ma présentation en vidéo captée à l’occasion d’un CTlive.

Read more...

[french] Conférence-démonstrations à l’ANAJ-IHEDN

[french] Conférence-démonstrations à l’ANAJ-IHEDN feature image

Je suis intervenu à l’ANAJ-IHDEN (Association Nationale des Auditeurs Jeunes de l’Institut des Hautes Études de Défense Nationale) pour la conférence “Quelles techniques d’attaque et contre-mesures dans le Cyber ?”, que vous pouvez revoir en vidéo.

Read more...

[french] Podcast Comptoir Sécu sur l'ARJEL

[french] Podcast Comptoir Sécu sur l'ARJEL feature image

Je suis intervenu dans le podcast Le Comptoir Sécu. Il s’agissait de l’épisode 30 au sujet de l’ARJEL.

Read more...