On ne sécurise pas
ce qu’on
ne voit pas.

Nous révélons votre surface d’attaque inconnue avant que les attaquants ne s’en chargent.

Produits2 solutions SaaS

01EASM

Tout ce que vous auriez aimé avoir
avant le prochain incident.

Découvrez tous vos actifs exposés : domaines, IP, certificats, APIs. Surveillez en continu et soyez alerté avant que les attaquants ne se chargent de la cartographie.

Découvrir EASM

24/7

surveillance continue

CVE

flux NVD intégré

API

export et webhooks

02SecAI

Un agent qui lit
votre code.

SAST contextuel, agent de pentest qui retest le scope entre deux missions, et brouillons de rapport repris par un humain avant livraison.

Voir l'agent

SAST

contextuel multi-fichiers

Agent

retest à chaque déploiement

CI/CD

GitHub, GitLab, Jenkins

Services2 offres de pentest

01Pentest Web Blackbox

Votre application,
vue par un attaquant.

Test d'intrusion externe sans accès au code source. Reproduction des techniques réelles des attaquants ; livraison d'un rapport priorisé et actionnable.

Demander un devis

OWASP

Top 10 + PTES

5-10 j

rapport après tests

OSWE

consultant certifié

OWN2PWN·Rapport d'audit · v1.0

CONFIDENTIELDIFFUSION RESTREINTE

P. 01

— Rapport d'audit

Pentest Web
Blackbox

ClientACME CORP

EngagementENG-2024-0024

Période03 — 14 mai 2024

Scope*.acme.com (5 hosts)

MéthodologieOWASP WSTG · PTES

5

findings

1

critique

12 j

livraison

Auditeurs : A. Verna (lead), M. Dubois
Document signé électroniquement

P. 12

§ 4.2Findings techniques/12

HIGH

BBX-02·CVSS 8.6

Server-Side Template Injection — Jinja2

// Payload

POST /api/templates/render

Content-Type: application/json

{ "name": "{{7*7}}" }

200 OK

{ "rendered": "49" }

// Confirmé : exec via {{ config.__class__... }}

Impact : RCE sur le service de rendering. Sandbox Jinja2 contournable via accès au global __class__.

Synthèse — 5 findings retenus

CRITBBX-01Boolean-based SQLiPOST /api/auth/login

HIGHBBX-02Server-Side Template InjectionPOST /api/templates/render

HIGHBBX-03Stored XSSPOST /api/comments

HIGHBBX-04Server-Side Prototype PollutionPOST /api/cart/merge

MEDBBX-05Client-Side Path TraversalGET /download?file=

own2pwn · audit-blackbox-2024-0024Page 12 sur 47

02Pentest Web Whitebox

L’audit en profondeur,
pas en surface.

Accès au code source, à l'architecture et à l'infrastructure. Conduit par un expert certifié OSWE, pour trouver ce que les outils automatiques ne trouvent pas.

Demander un devis

OSWE

certification OffSec

SAST

+ revue manuelle

Git

analyse sur le dépôt

OWN2PWN·Rapport d'audit · v1.0 · révisé

CONFIDENTIELDIFFUSION RESTREINTE

P. 01

— Rapport d'audit

Pentest Web
Whitebox

ClientACME CORP

EngagementENG-2024-0029

Période04 — 28 juin 2024

Codebase847 fichiers · 42 k LOC

StackPython · Django · PostgreSQL

MéthodologieSAST + revue manuelle + threat-modeling

OSWE — OffSec

Lead auditor · cert. #OS-19847

7

findings

2

critiques

48 h

rapport

Auditeurs : A. Verna (lead OSWE), J. Mercier
Document signé électroniquement

P. 23

§ 5.1Findings de revue de codeCRITIQUE

CRITIQUE

WBX-01·CVSS 9.8auth/session.py

Désérialisation pickle non signée — RCE pré-authentification

83def restore_session(token: str) -> User:

84 raw = base64.b64decode(token)

85 user = pickle.loads(raw) # ← sink, attaquant-contrôlé

86 return user

Chemin : cookie.session → middleware.SessionMiddleware → pickle.loads. Aucun HMAC. Gadget chain démontrée via __reduce__.

Recommandation

Migrer vers itsdangerous.URLSafeTimedSerializer avec rotation de clé, ou JWT signé HS256/Ed25519. PoC fournie en annexe B.3.

Synthèse — 7 findings revue de code

CRITWBX-01Désérialisation pickle non signéeauth/session.py:85

CRITWBX-02Secret JWT hardcodé en fallbackconfig/jwt.py:14

HIGHWBX-03TOCTOU sur validation uploadapi/files.py:47

HIGHWBX-04Mass assignment — User.update(**body)api/users.py:122

HIGHWBX-05AES-ECB sur données sensiblescrypto/wallet.py:31

MEDWBX-06SSRF via résolveur DNS interneintegrations/webhook.py:58

MEDWBX-07Coupon stacking — race sur le paniercart/checkout.py:213

own2pwn · audit-whitebox-2024-0029 · OSWE-certifiedPage 23 sur 78

Contact

Parlons de votre
surface d’attaque.

Démo, devis ou question technique : nous répondons sous 48h ouvrées.

Nous contacter contact@own2pwn.fr

On ne sécurise pasce qu’onne voit pas.

Tout ce que vous auriez aimé avoiravant le prochain incident.

Un agent qui litvotre code.

Votre application,vue par un attaquant.

L’audit en profondeur,pas en surface.