Advice

Share
Example of Security.txt file
by mathildeexlm mathildeexlm No Comments

How to report a security issue in a standardized manner with Security.txt

The sushi syntax is incorrect

Our story begins on a Friday evening. An InfoSec guy passes an order on an only sushi shop to take a romantic break with his sweetheart. He selects dishes and clicks on the “Checkout” button, however, instead of receiving the expected checkout page, he gets an SQL error page:

“You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near “Sushi”.”

Read more

Codes- data breach
by mathildeexlm mathildeexlm No Comments

How to test your defence in-depth with the Assume Breach approach

For the past two years, we observed growing requests of companies towards realistic tests based on breach and crisis simulations. Indeed, the classic model shows its limits when an application or a network has been tested many times. One can be pretty sure that the first line is secured, but another one can also be completely blind about what could happen next if it is not the case.

Read more

Password hashing template
by mathildeexlm mathildeexlm No Comments

Password hashing: Be careful about what you hash!

Context of the hashing issue

During a web assessment, Excellium’s Intrusion & AppSec team audited a PHP application where users passwords were stored using the bcrypt hashing algorithm. As bcrypt 1https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.htmlis still a valid and recommended algorithm to hash passwordscompromising passwords 2https://github.com/danielmiessler/SecLists/tree/master/Passwords/Common-Credentials  should not be an easy task. However, sometimesthe devil is in the details. 

 

Read more

by adidionxlm adidionxlm No Comments

Qui se cache à l’ombre de votre Active Directory ?

C’était la période de Noël au royaume de l’Active Directory. Les administrateurs parcouraient leur domaine, tel de joyeux lutins, confiant en la sécurité mise en place. Et pourtant, tapis à l’orée de la forêt, des envahisseurs attendent le moindre faux-pas pour les prendre dans leurs pièges et sceller le destin du royaume.

Read more

by adidionxlm adidionxlm No Comments

Excellium sensibilise aux bonnes pratiques liées à l’IOT

Excellium Services invite le marché à mieux intégrer les enjeux de sécurité et de vie privée dans le développement d’écosystèmes IoT. Spécialiste de la cybersécurité, le groupe luxembourgeois a lancé une initiative globale, rassemblant acteurs privés et publics, pour définir les bonnes pratiques en la matière. Après une 1ère conférence en octobre regroupant les acteurs de l’écosysteme et des écoles, Excellium lance aussi un cycle de formation et de sensibilisation visant à garantir la protection de la vie privée et la sécurité des écosystèmes IoT sur le marché. 

Read more

Cyber emergency- hand stealing a password
by adidionxlm adidionxlm No Comments

Incident is comming, soyez prêts !

En quelques années, le nombre et la complexité des cyber-attaques n’a cessé d’augmenter. Malgré de gros efforts mis en place pour se protéger, il est illusoire de se sentir intouchable. Une solide sécurité périmétrique peut-être facilement déjouée par des attaques tel que le phishing ouvrant le réseau interne à l’attaquant.

Read more

GDPR
by adidionxlm adidionxlm No Comments

Vous n’êtes pas prêt pour un test d’intrusion ?

Avec des équipements de sécurité, un service de surveillance ou encore une équipe dédiée à l’évaluation de sécurité, il est possible de cocher toutes les cases de mise en conformité, sauf une, le test d’intrusion. Appréhension de l’ultime validation des choix techniques et organisationnels, cette étape est en réalité encore mal comprise et sous-exploitée.

Read more

Top