01
ft_transcendence
App web fullstack — Pong multijoueur temps réel, auth OAuth, WebSocket, Docker.
Angle sécurité
Sessions OAuth et gestion de tokens — surface d'attaque Auth, CSRF
Pentest & SOC · École 42 Paris
Étudiant à l'École 42, je combine une maîtrise du bas niveau système (C/C++, Unix, mémoire) avec une pratique active de la cybersécurité offensive — CTF sur TryHackMe et Root-Me, exploitation de vulnérabilités Web et système (SQLi, XSS, SSRF, Buffer Overflow), veille CVE quotidienne. Mes projets 42 (WebServ, ft_irc, Minishell) m'ont confronté aux mécaniques réseau et système que j'apprends aujourd'hui à attaquer. Je recherche un stage Pentest ou SOC de 6 mois à partir de mai 2026 pour transformer cette base technique en expertise terrain.
Langages
Système Unix
Sécurité offensive
Réseau
Outils offensifs
Environnements
Langues
Atouts
01
App web fullstack — Pong multijoueur temps réel, auth OAuth, WebSocket, Docker.
Angle sécurité
Sessions OAuth et gestion de tokens — surface d'attaque Auth, CSRF
02
Serveur HTTP/1.1 from scratch — sockets non-bloquants, I/O multiplexing.
Angle sécurité
Mauvaises implémentations HTTP → path traversal, header injection
03
Serveur IRC en C++ — gestion multi-clients, canaux, commandes RFC.
Angle sécurité
Parsing réseau brut — base des injections de protocole
04
Shell UNIX complet — parsing lexical, pipes, redirections, signaux.
Angle sécurité
Descripteurs et signaux — fondement des techniques d'exploitation
05
Multithreading — mutex, synchronisation, prévention deadlocks.
Angle sécurité
Race conditions réelles — TOCTOU, data races en exploitation
06
Moteur 3D en C par raycasting — maths vectorielles, rendu temps réel.
Angle sécurité
Gestion mémoire bas niveau — overflows, heap corruptions
Autres projets validés — Libft · ft_printf · get_next_line · Born2beRoot · Pipex · push_swap · Modules C++ (00→09)
Fondateur & Gérant · 2023—2025
Marque de parfums en ligne — sourcing, logistique, +1 000 commandes traitées, gestion client et retours.
Retenu
Autonomie totale de A à Z — mis en pause pour se concentrer sur 42 et la cybersécurité
Fondateur · 2025—Présent
Structure fintech de trading pour indépendants — règles de gestion du risque, drawdown max, ratio R/R.
Retenu
Modélisation du risque, structuration — mené en parallèle du stage recherché
Freelance · Ponctuel
Dépannage Linux/Windows, configuration sécurisée de réseaux Wi-Fi, sensibilisation phishing et sauvegardes.
Retenu
Hardening réseau, vulgarisation sécurité — premier contact terrain
Fondateur · 2025 — Présent
Création et développement d'une entreprise d'achat-revente de véhicules — sourcing, inspection technique, négociation, gestion administrative et revente.
Retenu
Négociation commerciale, évaluation technique, gestion administrative — sens du rapport qualité/prix
En cours · Mai 2026 — ···
À la recherche d'un stage de 6 mois en cybersécurité (Pentest / SOC) dès mai 2026 — Paris et région parisienne. Ouvert aux opportunités à distance.
Retenu
adel.smati@gmail.com · linkedin.com/in/adel-smati-23492337a
TryHackMe · Web
Login vulnérable à une SQLi classique. ' OR 1=1 -- pour bypasser l'auth, credentials extraits par UNION SELECT. Outil : Burp Suite.
Root-Me · Pwn
ELF 32-bit, pas d'ASLR, NX actif. Offset via pattern cyclique GDB. Payload ret2libc → system("/bin/sh"). Shell obtenu.
TryHackMe · Réseau
Analyse .pcap HTTP non chiffré. Credentials extraits via Wireshark http.request.method == POST.
OpenSSH — regreSSHion, Race Condition pre-auth RCE
Race condition dans le handler SIGALRM de sshd sur Linux glibc. Appel de fonctions non-async-signal-safe depuis un signal handler → RCE non authentifié. Impact massif vu l'ubiquité d'OpenSSH. Patch : ≥ 9.8p1.
PAN-OS — Command Injection pre-auth RCE (GlobalProtect)
Injection de commandes OS dans GlobalProtect de Palo Alto PAN-OS. Exploitable sans auth → exécution arbitraire en root sur le firewall. Exploitée activement par APT UTA0218. IOC documentés par Volexity.
Disponible pour un stage Pentest / SOC de 6 mois · Paris · Dès mai 2026
adel.smati@gmail.com