Éditeurs : comment passer d’une faille à une CVE (sans y laisser votre réputation) ?
TL;DR — Éditeurs, les vulnérabilités de vos produits sont inévitables — mais ne pas les traiter, les ignorer ou refuser de les formaliser …
// Blog & Ressources
Base de connaissances
Writeups, analyses de vulnérabilités, retours de missions, veille et bonnes pratiques par les experts BZHunt.
GLPI : Blind XSS → ATO → SSTI → RCE — anatomie d'une chaîne 0-day
Note de transparence — Cette recherche a été conduite avec l’assistance de Claude Opus 4.6 (Anthropic), utilisé par BZHunt dans son …
NetNTLMv1 : cryptanalyse, rainbow tables et fin de vie — ce que votre SI risque encore
TL;DR — NetNTLMv1 repose sur DES, un algorithme cryptographique symétrique cassé depuis les années 90. Des rainbow tables précalculées …
Pentests LAN : quand les failles viennent de l'éditeur, le RSSI a des armes juridiques
TL;DR Cet article s’inscrit dans la continuité de nos travaux avec Me Marc-Antoine Ledieu sur le droit de pentester l’hébergeur …
CVSS 3.1, CVSSv4 et EPSS : le guide du RSSI pour prioriser sans se noyer
TL;DR — Un score CVSS élevé ne signifie pas qu’une vulnérabilité sera exploitée demain. Un score EPSS faible ne signifie pas …