root@portfolio:~/projets# ls -la

Total 3 directories. Drwxr-xr-x.

Audit // Oct 2024

Securing a Laravel API

Audit & Hardening d'une API E-commerce

> Le Défi

L'API REST exposait des données sensibles via des endpoints non authentifiés. Le Rate Limiting était absent, permettant des attaques par force brute sur le login. De plus, les tokens JWT n'étaient jamais révoqués.

> Notre Solution

Mise en place de Laravel Sanctum pour une gestion robuste des tokens. Implémentation de throttles stricts (Rate Limiting) sur les routes sensibles. Réécriture des Policies pour un contrôle d'accès granulaire (RBAC).

> Résultat

Zéro fuite de données lors du pentest de validation. Score de sécurité passé de F à A sur les outils d'audit automatisés. Architecture prête pour la mise à l'échelle.

Stack Technique

Laravel Sanctum Redis Postman OWASP ZAP

STATUS: COMPLETED

Pentest // Sep 2024

Pentest Black Box : "Operation Cookie Crumble"

Simulation d'attaque sur un environnement de test

> Le Défi

Pénétrer un serveur web simulé (CTF) protégé par un WAF basique. L'objectif était d'obtenir les droits root et d'exfiltrer la base de données clients fictive.

> Notre Solution

Reconnaissance passive avec OSINT. Découverte d'une faille LFI (Local File Inclusion) via un paramètre d'URL mal assaini. Escalade de privilèges via une mauvaise configuration Sudo sur le serveur Linux.

> Résultat

Compromission totale du serveur en 4 heures. Rapport détaillé fourni avec les preuves de concept (PoC) et les recommandations de remédiation immédiate.

Stack Technique

Kali Linux Burp Suite Metasploit Python

STATUS: COMPLETED

Malware // Aug 2024

Malware Analysis : "The Silent Baker"

Rétro-ingénierie d'un Ransomware

> Le Défi

Le binaire était obfusqué et détectait s'il tournait dans une machine virtuelle (anti-VM). Il utilisait un algorithme de chiffrement personnalisé pour bloquer les fichiers.

> Notre Solution

Utilisation de Ghidra pour désassembler le code. Contournement des checks anti-VM en patchant le binaire. Identification de la clé de chiffrement hardcodée dans la mémoire lors de l'exécution dynamique.

> Résultat

Création d'un décrypteur fonctionnel en Python. Publication d'un rapport technique sur les IOC (Indicateurs de Compromission) pour aider la communauté.

Stack Technique

Ghidra x64dbg C++ Assembly

STATUS: COMPLETED