Les serrures connectées sont apparues il y a quelques années, surfant sur la vague de l'Internet des objets (IoT) avec pour ambition de remplacer nos serrures mécaniques traditionnelles. Ces serrures intègrent pour la grande majorité une connectivité Bluetooth et/ou NFC, afin de permettre aux utilisateurs de communiquer avec ces dernières et de les actionner à l'aide de clefs numériques. C'est tout naturellement que le Labo Sysdream s'est intéressé à ces différentes solutions, afin d'évaluer leur sécurité et d'éprouver des mécanismes d'attaques sur les objets connectés en général.

Lire la suite

Symfony logo

Introduction

Sensio's Symfony web framework is one of the most used PHP-based MVC web development framework that powers a lot of well-known websites and web applications on the Internet. This framework comes with dedicated debugging tools, providing the developer with useful information about what happens when the framework renders a page. This feature is widely used on development systems but should not be available on production servers.

Lire la suite

CCCamp 2015

Cette année se déroulait à Mildenberg en Allemagne le troisième "Chaos Communication Camp" organisé par le Chaos Computer Club de Berlin (CCC). Il s'agit d'un des plus grands rassemblements en Europe de hackers et bidouilleurs qui campent sur le terrain d'une ancienne usine de briques, auquel certains membres de Sysdream ont participé (moi-même, et Julien).

Lire la suite

We discovered two critical vulnerabilities in OSSIM (versions prior to 5.0.1) that may be abused to take control of an OSSIM system and escalate privileges from an unprivileged local user access. A vulnerability affecting the asset discovery scanner allowed any authenticated user to execute arbitrary commands remotely (CVE-2015-4046). It was then possible to escalate privileges thanks to a specifically crafted Nmap script, and gain root access on the machine (CVE-2015-4045). Both were responsibly disclosed.

Lire la suite 

================================================
Multiple vulnerabilities in POSH web application
================================================


    Description
    ===========

    Multiple Cross-Site Scripting vulnerabilities, a design vulnerability and an SQL vulnerability have been found in the last version of POSH

Lire la suite