background preloader

Sécurité

Facebook Twitter

The NSA back door to NIST. Thomas C.

The NSA back door to NIST

Hales (University of Pittsburgh) (This article will be published in the Notices of the American Mathematical Society.) Use once. Die once. — activist saying about insecure communication This article gives a brief mathematical description of the NIST standard for cryptographically secure pseudo-random number generation by elliptic curves, the back door to the algorithm discovered by Ferguson and Shumow, and finally the design of the back door based on the Diffie-Hellman key exchange algorithm.

NIST (the National Institute for Standards and Technology) of the U.S. Through the Snowden disclosures, the NIST standard for pseudo-random number generation has fallen into disrepute. Random number generators can either be truly random (obtaining their values from randomness in the physical world such as a quantum mechanical process) or pseudo-random (obtaining their values from a deterministic algorithm, yet displaying a semblance of randomness). Of prime order p. . .) .

Write for the. How to: Install Let’s Encrypt certificates - How to - YunoHost Forum. Hi everyone, Let's encrypt went into public beta recently, which means anybody can use their services now to get "trusted" certificates and get rid of self-signed certificates.

How to: Install Let’s Encrypt certificates - How to - YunoHost Forum

There are only sparse documentation on the internet now (and most of them not so newbies-friendly ?) , so I'm opening this thread to help people who are willing to understand how this works, and get the certificates running including the few tweaks specific to YunoHost. Disclaimer: this thread in work in progress, I'll update it as my understanding improves and feedback is received. I'm a noob myself, so kindly correct anything wrong I'm saying . An experimental package available here174 tries to automatize the following instructions 0. To understand what let's encrypt is about, you need to understand the problematic behind HTTPS/SSL/TLS certificates. This last point was not easy to automatize, required human intervention, and was why you had to pay for your certificates.

Planet Libre - Yunohost, Let's Encrypt, A+ au SSLLabs. Codebashing. In this interactive tutorial you will understand how SQL injection attacks are used to compromise the security of a web application, and how to write code more securely to protect against this type of attack. 1.

Codebashing

Exercise Background The vulnerable application pane loads the TradePORTAL application, an online trading platform. Registered users of the system can login to buy and sell stocks, bonds and currencies. Alice is a trader and registered (legitimate) user of the application. Action Click "Next" to continue. Next 2. The live log pane displays real-time SQL database queries that are generated and logged by the TradePORTAL application. 3. Alice tries to login to the application with the following credentials: Username: alice@bank.com Password: alice123 Note: Keep an eye on the live log pane when attempting to login. Use Alice's credentials to login. 4. So the password alice123 doesn't seem to work for Alice's account. Converter - Un outil pour décoder du code obfusqué. Si vous vous êtes déjà fait infecter un site web, vous avez du remarquer que dans le source de vos pages ou de vos JavaScript, se trouvaient du code un peu étrange.

Converter - Un outil pour décoder du code obfusqué

Le plus souvent encodés ("obfusqué") pour éviter d'être compris, ces scripts sont parfois difficiles à retirer lorsqu'ils englobent des parties légitimes à votre site. On en trouve aussi dans certains thèmes "gratuits" (comprenez "offerts gratuitement, car vérolés") Toutefois rien n'est perdu, car avec Converter, une application pour Windows gratuite, vous allez pouvoir décoder ces codes malicieux pour mieux les analyser et les comprendre.

Pour cela il suffit de coller le texte encodé dans Converter et de choisir l'une des options de conversion (Base64/ hex / dec / octal / UTF7 / UCS2 / Binaire / HTML avec caractère d'échappement / décalage de caractères / ROT 13 ou autre...etc. Bref, un petit outil très pratique à avoir sous la main quand on fait un peu d'analyse de code. The Mask : Kaspersky aurait démasqué une menace importante sur le Web. Kaspersky Lab a découvert une nouvelle cyber-menace appelée The Mask ou Careto.

The Mask : Kaspersky aurait démasqué une menace importante sur le Web

Il s’agirait en fait d’une arme sophistiquée visant à implanter secrètement des malware dans les systèmes IT de différentes organisations. Kaspersky Lab affirme que The Mask serait opérationnel depuis au moins 2007. Depuis lors, les pirates sont parvenus à infiltrer secrètement les systèmes de près de 380 organisations réparties dans 31 pays (Moyen-Orient, Afrique, Amérique, Europe) sur plus d’un millier d’adresses IP : ambassades, compagnies pétrolières, laboratoires de recherche… L’objectif principal de ces infiltrations serait de collecter différentes données privées sur les systèmes infectés (les OS mobiles et desktop peuvent être attaqués), notamment des documents de travail ou plus grave encore, des clés de chiffrement, les fichiers de configurations VPN, ou les fichiers DRP (qui servent à configurer le logiciel Remote Desktop Client permettant de contrôler un poste de travail à distance).

MyPermissions - Scan your permissions... Find out who gained access to your personal info.

OAuth

Qualys SSL Labs. OWASP.