Blog Archive - Core dump overflow. Sans titre. Des podcasts sur la sécurité informatique - Information Security. Lorsque l’on fait de la veille informatique, plusieurs supports peuvent se présenter à nous. Parmi eux, un « nouveau » que j’ai découvert récemment dans le domaine de la sécurité informatique, les podcasts audio. Je vais ici vous présenter deux podcasts français que j’ai découvert récemment et qui méritent d’être plus largement diffusés : Comptoir Sécu et NoLimitSecu.
Des podcasts ? Il s’agit en effet de podcasts, qui prennent la forme d’émissions radio, que l’on peut donc écouter le matin en allant au travail dans la voiture ou dans les transports en commun. Ces podcasts sont plutôt dédiés à une population technique, ou du moins ayant des connaissances en informatique plutôt que le grand public. Comptoir Sécu Les premiers podcasts ont débutés en mai 2013 et depuis, il en sort un par mois.
Parmi les sujets traités dernièrement (lors de l’écriture de ce billet), on trouve par exemple le malware Poseidon, la présentation du DEFNET 2015. No Limit Secu. OverTheWire: Wargames. We're hackers, and we are good-looking. We are the 1%. The wargames offered by the OverTheWire community can help you to learn and practice security concepts in the form of fun-filled games. To find out more about a certain wargame, just visit its page linked from the menu on the left. If you have a problem, a question or a suggestion, you can join us on IRC. Suggested order to play the games in Bandit Leviathan or Natas or Krypton Narnia Behemoth Utumno Maze … Each shell game has its own SSH port Information about how to connect to each game using SSH, is provided in the top left corner of the page.
DVWA (4/4) : Solutions, explications et étude des protections. DVWA, ou Damn Vulnerable Web Application, fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest. Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important. Note : Les méthodes et procédés d’attaque expliqués dans ces articles ont pour objectif de vous faire comprendre les enjeux de la sécurité et l’importance de la protection du système d’information. Pour rappel, l’utilisation de ces attaques sur des systèmes réels est strictement interdite et passible de peines d’emprisonnement ainsi que d’amendes lourdes.
Plus d’informations ici : atteintes aux systèmes de traitement automatisé de données. Voici les autres articles de cette série : Failles de type File Upload Quelles conséquences pour la sécurité ? DVWA (3/4) : Solutions, explications et étude des protections. DVWA ou Damn Vulnerable Web Applications fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest de sécurité. Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important.
Note : Les méthodes et procédés d’attaque expliqués dans ces articles ont pour objectif de vous faire comprendre les enjeux de la sécurité et l’importance de la protection du système d’information. Pour rappel, l’utilisation de ces attaques sur des systèmes réels est strictement interdite et passible de peines d’emprisonnement ainsi que d’amendes lourdes. Plus d’informations ici : atteintes aux systèmes de traitement automatisé de données. Voici les autres articles de cette série : Failles de type SQL Injection. DVWA (2/4) : Solutions, explications et étude des protections. DVWA ou Damn Vulnerable Web Applications fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest de sécurité.
Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important. Note : Les méthodes et procédés d’attaque expliqués dans ces articles ont pour objectif de vous faire comprendres les enjeux de la sécurité et l’importance de la protection du système d’information.
Pour rappel, l’utilisation de ces attaques sur des systèmes réels est strictement interdit et passible de peines d’emprisonnement ainsi que d’amendes lourdes. Plus d’informations ici : atteintes aux systèmes de traitement automatisé de données. Voici les autres articles de cette série : Failles de type CSRF CSRF signifie Cross-Site Request Forgery. DVWA (1/4) : Solutions, explications et étude des protections. DVWA ou Damn Vulnerable Web Applications fait généralement partie des premiers travaux pratiques sur lesquels on se penche pour débuter en audit/pentest de sécurité. Dans ces quatre articles, nous allons étudier les solutions aux défis qui sont présents sur DVWA, l’intérêt sera alors de comprendre pourquoi une vulnérabilité est présente, comment la détecter, comment l’exploiter et enfin comment s’en protéger, ce qui est de loin le plus important. Note : Les méthodes et procédés d’attaque expliqués dans ces articles ont pour objectif de vous faire comprendre les enjeux de la sécurité et l’importance de la protection du système d’information.
Pour rappel, l’utilisation de ces attaques sur des systèmes réels est strictement interdit et passible de peines d’emprisonnement ainsi que d’amendes lourdes. Plus d’informations ici : atteintes aux systèmes de traitement automatisé de données. Voici les autres articles de cette série : Donner une solution pour dire « regardez, j’ai trouvé ! . Bien ! CTF Challenge : Lamp Security 4 - Information Security. Aujourd’hui nous allons étudier le cas du CTF « Lamp Security 4 ». Il s’agit d’un excellent exercice pour apprendre et étendre ses connaissances en sécurité, en attaque comme en défense ! Lorsque je poste des « solutions » de challenge sur mon blog, j’avertis toujours l’utilisateur sur le fait qu’il ne doit les lire qu’une fois qu’il a résolu ce même challenge ou alors qu’il est resté bloqué dessus pendant 7 jours et 7 nuits sans interruption.
La raison est simple, les machines virtuelles de ce genre n’ont pour moi absolument pas vocation à être résolue, mais plus à se faire poser à « l’attaquant » les bonnes questions, ce qui améliorera ses connaissances. Ainsi, ma solution n’est là que pour vous montrer ma façon de faire. À la fin de la présentation de l’attaque, nous étudierons le plus important pour moi dans une approche CTF : les défenses qui auraient pu être mises en place pour améliorer la protection de cette VM. Après cette longue introduction, passons à l’action !
Phase d’attaque. Pentesterlab, un site d'entrainement au pentesting - Information Security. Pour tous les intéressés et les débutants dans le monde du pentesting, je vous présente aujourd’hui le site pentesterlab qui est une initiative que je souhaite mettre en avant. Ce site propose gratuitement des VMs et des cours de pentesting, ces machines virtuelles peuvent être utilisées dans le cadre de mise en pratique de cours qui sont distribués sur le même site, ce qui permet de comprendre et de tester les vulnérabilités expliquées. Ce ne sont pas des VMs comme en propose Vulnhub (un site qui propose des machines virtuelles pour les tests d’intrustion) qu’il faut tenter d’attaquer mais plutôt des VMs contenant un ensemble de pages web permettant de mettre en application les cours qui sont proposés. Les cours PDF fournis avec les machines virtuelles sont complets dans les thématiques qu’ils abordent, on commence par exemple pour « web for pentester » sur un rappel du fonctionnement du web, des serveurs web, de leurs composants ainsi que le fonctionnement du protocole HTTP.
Vulnhub : Testez vos connaissances en pentest ! - Information Security. Aujourd’hui je partage avec vous une de mes récentes découvertes, le site Vulnhub. C’est un site qui a pour but principal de lister le plus grand nombre de machines virtuelles pentest que l’on peut trouver sur le net. Les machines virtuelles pentest sont des machines virtuelles contenant des vulnérabilités connues mises en place de façon intentionnelle sur une machine qui deviendra alors un serveur cible. Le but de ce genre de machine est de pouvoir s’exercer à la pratique du pentest (test de pénétration, dit aussi test d’intrusion). C’est un exercice très intéressant que de se pencher sur ce genre d’exercice car, pour ceux qui pratiquent rarement, c’est l’occasion de mettre nos connaissances à l’épreuve. On trouve en effet sur le site que son but est de fournir du contenu permettant à quiconque de gagner de l’expérience pratique sur la sécurité informatique, la sécurité des applications ou l’administration systèmes et réseau.
Bon entraînement ! Testez et améliorez vos compétences en sécurité avec Root-Me. Je vous présente souvent sur mon blog des ressources qui vous permettent de tester ou d’améliorer vos compétences et connaissances en sécurité. Aujourd’hui je vous présente la plate-forme d’entrainement root-me.org qui permet d’améliorer ses compétences en sécurité Root-me.org est avant tout une communauté dédiée à l’apprentissage du hack et de la sécurité informatique, plus clairement, il s’agit d’un site de challenges et d’exercices.
Vous y trouverez également des articles d’information, des news et actualités, ainsi que des outils qui vous permettront de résoudre ces challenges. Une grosse partie du site est également dédiée à l’échange entre les membres. L’aspect communautaire est très important sur root-me.org, car c’est avant tout par cet échange que se fait l’apport en connaissance, c’est bien connu, la connaissance s’accroît quand on la partage ! C’est pour cela que l’on trouvera sur root-me.org un forum, mais également un IRC (Internet Relay Chat).
Bon courage !