Piratage - catégorie -
-
J'ai écrit une clé API en front-end avec Vibe Coding, et j'ai fini par être piraté et me faire payer des frais élevés. Voici quelques exemples et mesures de sécurité.
Le « vibe coding », un style de développement moderne qui se concentre sur la création rapide d'applications et leur mise en œuvre, gagne en popularité. Les services BaaS comme Supabase et Firebase, en particulier, permettent d'effectuer des opérations d'authentification et de base de données en quelques lignes de code seulement, ce qui les rend idéaux pour le prototypage rapide et l'amélioration de l'interface utilisateur. -
[Sécurité IA] Désactivation de classes spécifiques en altérant le modèle | HackTheBox : Rédaction sur la crise du carburant
Nous vivons désormais à une époque où l'IA non seulement « apprend et prend des décisions », mais où les modèles qui les prennent sont eux-mêmes la cible d'attaques. En particulier, les pondérations et les biais des modèles d'apprentissage automatique sont essentiels à la détermination de leurs résultats, et leur altération peut fausser intentionnellement les résultats des prédictions. De tels modèles… -
[Sécurité IA] Attaque d'un rançongiciel négocié par IA avec injection rapide | HackTheBox : article sur le rançongiciel TrynaSob
Nous vivons à une époque où l'IA n'est plus seulement un « interlocuteur », mais peut aussi être un outil pour les attaquants. Ces dernières années, même dans le monde des rançongiciels, des robots de négociation IA sont apparus, automatisant les interactions avec les victimes et simplifiant ainsi le paiement des rançons. Cependant, l'autorité et les informations dont dispose cette IA… -
[Sécurité IA] Détournement d'agents IA exploitant les appels de fonctions OpenAI : explication des pratiques et des stratégies de défense ! Enquête de fidélité HackTheBox
L'évolution de l'IA va déjà au-delà de la simple conversation avec les humains. Les récents modèles de langage à grande échelle (MLH) peuvent appeler des fonctions et des API externes en réponse aux requêtes des utilisateurs, exécutant ainsi des systèmes et des services réels. La fonctionnalité d'appel de fonctions d'OpenAI… -
[Sécurité de l'IA] Tromper un LLM avec une injection rapide | Article sur les affaires externes de HackTheBox
Nous vivons à une époque où l'IA remplace la prise de décision humaine. Que se passerait-il si nous pouvions la tromper un tant soit peu ? Cette fois, nous avons relevé le défi d'un CTF pour contourner les contrôles de voyage internationaux grâce à l'IA. Nous avons utilisé l'injection rapide, une technique qui exploite une faiblesse des modèles linguistiques à grande échelle (MLH). -
[Guide pratique] Piratage avec RCE à partir de la vulnérabilité SSTI sur HackTheBox ! Découvrez les causes et les contre-mesures des vulnérabilités | Article sur Spookifier
Les moteurs de modèles sont largement utilisés dans les applications web pour combiner HTML et données afin de générer des affichages. Par exemple, les moteurs de modèles sont utilisés en back-end pour intégrer des noms d'utilisateur, des contenus de publication et d'autres informations au HTML. Cependant,… -
Comment démarrer avec Hack The Box | Comparaison approfondie des offres gratuites et payantes, des Labs et de l'Académie
De nombreuses personnes souhaitant devenir ingénieurs en sécurité et améliorer leurs compétences grâce aux CTF se sont peut-être intéressées à Hack the Box (HTB) dans ce but. Cependant, en consultant le site web officiel, vous découvrirez une grande variété de services (Labs, Academy, CTF, Business, etc.)… -
[Démo XSS] J'ai essayé de pirater un site Web en une seule ligne !!
"J'ai essayé de créer une application Bulletin Board qui peut utiliser des balises HTML!" Et si une œuvre d'un ingénieur débutant serait "prise en charge" avec un seul poste de ligne? Cette fois, nous utiliserons un exemple de «script inter-sites (XSS)», qui est les bases de la sécurité, pour voir à quel point ils sont vulnérables ... -
Pour les débutants: Entraînez-vous avec Spring Boot et Mybatis! Risques et prévention de l'injection SQL
Les mesures de sécurité sont inévitables lors du développement d'applications Web. Parmi eux, "l'injection SQL" est connue comme une menace grave pour les bases de données. Dans cet article, nous expliquerons de manière facile à comprendre comment fonctionne l'injection SQL, et nous expliquerons ce que c'est ... -
[SecCon débutants CTF 2024] Rédaction Web
Ce n'était pas un très bon résultat, mais j'ai participé au CTF 2024 des débutants de Seccon, donc je vais laisser un rédaction en tant que mémo. SSRFORLFI SOURCE Vérifiez la structure du dossier après la décompression TAR.GZ est la suivante. $ trouver ./ ./ ./docker-compose.yml ./.env ./app ...