background preloader

Tuto

Facebook Twitter

Blog Archive - Core dump overflow. Sans titre. Des podcasts sur la sécurité informatique - Information Security. Lorsque l’on fait de la veille informatique, plusieurs supports peuvent se présenter à nous.

Des podcasts sur la sécurité informatique - Information Security

Parmi eux, un « nouveau » que j’ai découvert récemment dans le domaine de la sécurité informatique, les podcasts audio. Je vais ici vous présenter deux podcasts français que j’ai découvert récemment et qui méritent d’être plus largement diffusés : Comptoir Sécu et NoLimitSecu. Des podcasts ? Il s’agit en effet de podcasts, qui prennent la forme d’émissions radio, que l’on peut donc écouter le matin en allant au travail dans la voiture ou dans les transports en commun. Les rediffusions sont disponibles sur leurs sites web respectifs. Ces podcasts sont plutôt dédiés à une population technique, ou du moins ayant des connaissances en informatique plutôt que le grand public. Comptoir Sécu Les premiers podcasts ont débutés en mai 2013 et depuis, il en sort un par mois. OverTheWire: Wargames. DVWA (4/4) : Solutions, explications et étude des protections.

DVWA, ou Damn Vulnerable Web Application, fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest.

DVWA (4/4) : Solutions, explications et étude des protections

DVWA (3/4) : Solutions, explications et étude des protections. DVWA ou Damn Vulnerable Web Applications fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest de sécurité.

DVWA (3/4) : Solutions, explications et étude des protections

Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important. Note : Les méthodes et procédés d’attaque expliqués dans ces articles ont pour objectif de vous faire comprendre les enjeux de la sécurité et l’importance de la protection du système d’information.

Pour rappel, l’utilisation de ces attaques sur des systèmes réels est strictement interdite et passible de peines d’emprisonnement ainsi que d’amendes lourdes. Plus d’informations ici : atteintes aux systèmes de traitement automatisé de données. Voici les autres articles de cette série : Failles de type SQL Injection DVWA – SQL Injection – level « low » DVWA (2/4) : Solutions, explications et étude des protections. DVWA ou Damn Vulnerable Web Applications fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest de sécurité.

DVWA (2/4) : Solutions, explications et étude des protections

Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important. Note : Les méthodes et procédés d’attaque expliqués dans ces articles ont pour objectif de vous faire comprendres les enjeux de la sécurité et l’importance de la protection du système d’information. Pour rappel, l’utilisation de ces attaques sur des systèmes réels est strictement interdit et passible de peines d’emprisonnement ainsi que d’amendes lourdes.

Plus d’informations ici : atteintes aux systèmes de traitement automatisé de données. Voici les autres articles de cette série : Failles de type CSRF CSRF signifie Cross-Site Request Forgery. DVWA (1/4) : Solutions, explications et étude des protections. DVWA ou Damn Vulnerable Web Applications fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest de sécurité.

DVWA (1/4) : Solutions, explications et étude des protections

Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important. CTF Challenge : Lamp Security 4 - Information Security. Pentesterlab, un site d'entrainement au pentesting - Information Security. Pour tous les intéressés et les débutants dans le monde du pentesting, je vous présente aujourd’hui le site pentesterlab qui est une initiative que je souhaite mettre en avant.

Pentesterlab, un site d'entrainement au pentesting - Information Security

Ce site propose gratuitement des VMs et des cours de pentesting, ces machines virtuelles peuvent être utilisées dans le cadre de mise en pratique de cours qui sont distribués sur le même site, ce qui permet de comprendre et de tester les vulnérabilités expliquées. Ce ne sont pas des VMs comme en propose Vulnhub (un site qui propose des machines virtuelles pour les tests d’intrustion) qu’il faut tenter d’attaquer mais plutôt des VMs contenant un ensemble de pages web permettant de mettre en application les cours qui sont proposés. Les cours PDF fournis avec les machines virtuelles sont complets dans les thématiques qu’ils abordent, on commence par exemple pour « web for pentester » sur un rappel du fonctionnement du web, des serveurs web, de leurs composants ainsi que le fonctionnement du protocole HTTP.

Vulnhub : Testez vos connaissances en pentest ! - Information Security. Aujourd’hui je partage avec vous une de mes récentes découvertes, le site Vulnhub.

Vulnhub : Testez vos connaissances en pentest ! - Information Security

C’est un site qui a pour but principal de lister le plus grand nombre de machines virtuelles pentest que l’on peut trouver sur le net. Les machines virtuelles pentest sont des machines virtuelles contenant des vulnérabilités connues mises en place de façon intentionnelle sur une machine qui deviendra alors un serveur cible. Le but de ce genre de machine est de pouvoir s’exercer à la pratique du pentest (test de pénétration, dit aussi test d’intrusion). C’est un exercice très intéressant que de se pencher sur ce genre d’exercice car, pour ceux qui pratiquent rarement, c’est l’occasion de mettre nos connaissances à l’épreuve. On trouve en effet sur le site que son but est de fournir du contenu permettant à quiconque de gagner de l’expérience pratique sur la sécurité informatique, la sécurité des applications ou l’administration systèmes et réseau. Bon entraînement ! Testez et améliorez vos compétences en sécurité avec Root-Me.

Je vous présente souvent sur mon blog des ressources qui vous permettent de tester ou d’améliorer vos compétences et connaissances en sécurité.

Testez et améliorez vos compétences en sécurité avec Root-Me

Aujourd’hui je vous présente la plate-forme d’entrainement root-me.org qui permet d’améliorer ses compétences en sécurité Root-me.org est avant tout une communauté dédiée à l’apprentissage du hack et de la sécurité informatique, plus clairement, il s’agit d’un site de challenges et d’exercices. Vous y trouverez également des articles d’information, des news et actualités, ainsi que des outils qui vous permettront de résoudre ces challenges. Une grosse partie du site est également dédiée à l’échange entre les membres. L’aspect communautaire est très important sur root-me.org, car c’est avant tout par cet échange que se fait l’apport en connaissance, c’est bien connu, la connaissance s’accroît quand on la partage !

On pourra trouver sur root-me.org : 205 challenges33 machines virtuelles931 solutions Bon courage !