RORO's blog

Pourquoi j'ai voulu mon propre outil d'audit de code

contact@rodolpheg.xyz (0xRo) — Fri, 12 Jun 2026 00:00:00 +0000

Petite note : cet article est moins technique que d’habitude. J’avais juste envie de raconter, à cœur ouvert, le développement de l’outil sur lequel je bosse, et surtout mon ressenti tout au long du dev.

Le constat : trois ans de SAST

Ça va faire plus de trois ans que je fais du DevSecOps. Dans ce métier, je manipule pas mal de SAST, et globalement je les trouve un peu nuls. Ils sortent les vulns les plus évidentes, oui, mais dès que ça devient un peu tordu, c’est vraiment pas dingue.

Mon premier bug bounty : une DOM XSS

contact@rodolpheg.xyz (0xRo) — Sun, 10 May 2026 00:00:00 +0000

Note de divulgation : Le périmètre, le nom du programme et l’identité de la société sont masqués conformément à la politique de divulgation responsable. Tous les extraits de code sont anonymisés ou reconstruits pour illustrer le concept. La vulnérabilité a été signalée via une plateforme de bug bounty et a depuis été corrigée.

TL;DR

XSS basé sur le DOM trouvé dans une page /apps/returns d’une grande marque e-commerce
Cause racine : window.location.href = event.data.data - sans vérification d’origine, sans validation de schéma
Vecteur d’attaque : n’importe quelle fenêtre cross-origin tenant une référence via window.open() peut injecter une URI javascript:
Impact : exécution JavaScript complète dans l’origine cible → cookies de session, localStorage, appels API same-origin, prise de contrôle de compte
CVSS 9.0 (S:C - changement de portée)
Bonus : découverte d’une chaîne de destruction d’adresses sans protection CSRF en explorant l’impact

Comment tout a commencé

Je chassais des bugs sur une grande marque de cosmétiques e-commerce tournant sous Shopify. Rien de sophistiqué - juste lire le source des pages, grep sur des patterns intéressants, chercher ce truc qu’on a oublié de valider.

Architecture de Semgrep : Reference technique complete

contact@rodolpheg.xyz (0xRo) — Wed, 08 Apr 2026 00:00:00 +0000

Semgrep (Semantic Grep) est un outil d’analyse statique multi-langage qui identifie du code par sa structure – et non simplement par son texte – en utilisant un Abstract Syntax Tree unifie et un langage de patterns riche. Ce document couvre l’architecture interne complete, du point d’entree CLI a la detection de taint sink.

Table des matieres

-1. Pourquoi ?

Je travaille en tant qu’ingenieur DevSecOps depuis bientot quatre ans. Quand j’ai commence, j’avais peu d’exposition a des outils comme le SAST, le SCA ou le DAST. Mon etat d’esprit etait fermement ancre dans la securite offensive. Le test d’intrusion etait l’objectif, le reve.

Une nuit pour hacker 2026: Thread of Doom

contact@rodolpheg.xyz (0xRo) — Sun, 29 Mar 2026 00:00:00 +0000

Synthese

Challenge : Thread of Doom
Categorie : Reverse Engineering
Flag : NHK26{VirtualProtect_Overwritten}
Binaire : NHK_CrackMe_V3.exe (PE32, x86, 43520 octets)

Vue d’ensemble

Thread of Doom est un crackme Windows qui affiche une boite de dialogue avec un bouton “Demo”. Cliquer sur ce bouton affiche une erreur : “Tu n’es pas premium ! Prix : 2 BTC”. L’objectif est de comprendre les mecanismes de protection du binaire et d’extraire le flag cache.

Enketo 6.2.1 - Auth-Bypass, SSRF et abus de XXE navigateur pour lecture de fichiers

contact@rodolpheg.xyz (0xRo) — Sat, 07 Feb 2026 00:00:00 +0000

Introduction

Article original : OffenSkill - Enketo 6.2.1 - Auth-Bypass, SSRF, and XXE Browser Abuse to File Read

Cette session de formation était axée sur la revue de code en boîte blanche, l’application et l’introspection runtime du système.
Nous voulions travailler sur un framework backend JavaScript et Enketo Express semblait être un bon candidat. Le code source est disponible sur GitHub - enketo/enketo-express et la version que nous avons évaluée était la version 6.2.1, construite avec les Dockerfiles officiels.

Amazon AppSec CTF : HalCrypto

contact@rodolpheg.xyz (0xRo) — Sun, 21 Sep 2025 00:00:00 +0000

Synthese

Challenge : HalCrypto
Categorie : Securite Web
Vulnerabilite : Contournement de la validation JWT via confusion d’URL avec le symbole @
Impact : Contournement de l’authentification menant a un acces administrateur
Flag : HTB{r3d1r3c73d_70_my_s3cr37s}

Vue d’ensemble de la vulnerabilite

Diagramme du flux d’attaque

graph TD
 A[User Login + Attacker JWT] --> B[AuthMiddleware]
 B --> C[Extract JKU URL from Header]
 C --> D{Validate JKU URL<br/>lastIndexOf check}
 D -->|"URL starts with AUTH_PROVIDER<br/>string-based comparison"| E[PASSES]
 D -->|"Does not start with AUTH_PROVIDER"| R[Rejected]

 E --> F["Fetch JWKS from JKU URL"]
 F --> G["JWT Verification with<br/>attacker's public key"]
 G --> H[Auth Bypass]
 H --> I[Flag]

 subgraph "URL Confusion"
 J["Validator sees:<br/>http://127.0.0.1:1337@attacker.com/...<br/>starts with AUTH_PROVIDER ✓"]
 K["HTTP client connects to:<br/>attacker.com<br/>treats 127.0.0.1:1337 as credentials"]
 end

 D -.-> J
 F -.-> K

Analyse source-to-sink

1. Point d’entree - Authentification JWT (Source)

La vulnerabilite commence lorsque le AuthMiddleware traite les tokens JWT :

Amazon AppSec CTF : PageOneHTML

contact@rodolpheg.xyz (0xRo) — Sun, 21 Sep 2025 00:00:00 +0000

Résumé exécutif

Défi : PageOneHTML
Catégorie : Sécurité Web
Vulnérabilité : Server-Side Request Forgery (SSRF) via le protocole gopher://
Impact : Accès à un endpoint d’API interne menant à la divulgation du flag
Flags :
- Local : HTB{f4k3_fl4g_f0r_t3st1ng}
- Distant : HTB{l1bcurL_pla7h0r4_0f_pr0tocOl5}

Analyse Source-to-Sink

1. Point d’entrée - Entrée utilisateur (Source)

La vulnérabilité commence au endpoint /api/convert qui accepte du contenu markdown contrôlé par l’utilisateur :

// routes/index.js:15-28
router.post('/api/convert', async (req, res) => {
 const { markdown_content, port_images } = req.body; // User input
 
 if (markdown_content) {
 html = MDHelper.makeHtml(markdown_content); // Convert MD to HTML
 if (port_images) { // If port_images is true
 return ImageConverter.PortImages(html) // Process images
 .then(newHTML => res.json({ content: newHTML }))
 .catch(() => res.json({ content: html }));
 }
 return res.json({ content: html });
 }
 return res.status(403).send(response('Missing parameters!'));
});

2. Traitement des images - Confusion de protocole

Le module ImageConverter extrait toutes les balises <img> et traite leurs attributs src :

Comprendre les Code Property Graphs

contact@rodolpheg.xyz (0xRo) — Tue, 05 Aug 2025 00:00:00 +0000

Quand j’ai commence a developper des outils pour l’audit de code source, mon besoin principal etait de suivre les flux de donnees corrompues (tainted) a travers des bases de code complexes lors de revues de code manuelles. Au depart, je me suis tourne vers Tree-Sitter, qui s’est avere excellent pour l’analyse de fichiers individuels grace a ses capacites de parsing rapide et incrementiel. Cependant, en passant a des bases de code plus volumineuses avec des dependances inter-fichiers complexes et des flux de donnees, l’approche AST-only de Tree-Sitter est devenue limitante. Le defi n’etait pas simplement de parser des fichiers individuels. Il s’agissait de comprendre comment les donnees circulent entre les fonctions, a travers les modules et via differents chemins d’execution lors d’evaluations de securite manuelles approfondies.

L'audit de code pour les nuls

contact@rodolpheg.xyz (0xRo) — Sat, 02 Aug 2025 00:00:00 +0000

Sujets abordés

Cet article explore l’évolution de la revue de code manuelle vers les tests de sécurité automatisés, en couvrant :

La réalité de la revue de code manuelle et ses limites
La différence entre vulnérabilités et faiblesses
Le fonctionnement interne des outils SAST
L’analyse de teinte (taint analysis) et le suivi des flux de données
Les méthodologies sink-to-source vs source-to-sink
Les stratégies d’atténuation : liste blanche vs liste noire
La gestion des faux positifs en pratique
Le choix et le déploiement d’outils SAST à grande échelle
La complémentarité entre tests manuels et automatisés

Il est 3 heures du matin. Vous en êtes à votre cinquième tasse de café, les yeux injectés de sang, fixant la ligne 2 847 d’une pull request de 10 000 lignes. Quelque part dans ce labyrinthe d’accolades et de points-virgules se cache une injection SQL qui pourrait faire tomber toute votre application. Bienvenue dans le monde glamour de la revue de code manuelle !

A propos

contact@rodolpheg.xyz (0xRo) — Mon, 01 Jan 0001 00:00:00 +0000

CVE

contact@rodolpheg.xyz (0xRo) — Mon, 01 Jan 0001 00:00:00 +0000

Liens

contact@rodolpheg.xyz (0xRo) — Mon, 01 Jan 0001 00:00:00 +0000

Slides

contact@rodolpheg.xyz (0xRo) — Mon, 01 Jan 0001 00:00:00 +0000

RORO's blog

Pourquoi j'ai voulu mon propre outil d'audit de code

Le constat : trois ans de SAST

Mon premier bug bounty : une DOM XSS

TL;DR

Comment tout a commencé

Architecture de Semgrep : Reference technique complete

Table des matieres

-1. Pourquoi ?

Une nuit pour hacker 2026: Thread of Doom

Synthese

Vue d’ensemble

Enketo 6.2.1 - Auth-Bypass, SSRF et abus de XXE navigateur pour lecture de fichiers

Introduction

Amazon AppSec CTF : HalCrypto

Synthese

Vue d’ensemble de la vulnerabilite

Diagramme du flux d’attaque

Analyse source-to-sink

1. Point d’entree - Authentification JWT (Source)

Amazon AppSec CTF : PageOneHTML

Résumé exécutif

Analyse Source-to-Sink

1. Point d’entrée - Entrée utilisateur (Source)

2. Traitement des images - Confusion de protocole

Comprendre les Code Property Graphs

L'audit de code pour les nuls

Sujets abordés

A propos

Archives

CVE

Liens

Slides