Sauvegarde (informatique) Un article de Wikipédia, l'encyclopédie libre. En informatique, la sauvegarde (backup en anglais) est l'opération qui consiste à dupliquer et à mettre en sécurité les données contenues dans un système informatique. Ce terme est à distinguer de deux notions proches : l'enregistrement des données, qui consiste à écrire des données sur un périphérique, tel qu'un disque dur, une clé USB, des bandes magnétiques, où les informations demeureront même après l'extinction de la machine, contrairement à la mémoire vive.l'archivage, qui consiste à enregistrer des données de manière à garantir sur le long terme leur conformité à un état donné, en général leur état au moment où elles ont été validées par leurs auteurs. La sauvegarde passe forcément par un enregistrement des données, mais pas nécessairement dans un but d'archivage. Les copies de sûreté sont utiles principalement à deux choses : L'opération inverse qui consiste à réutiliser des données sauvegardées s'appelle une restauration.
Injection SQL De nombreux développeurs web ne sont pas conscients des possibilités de manipulation des requêtes SQL, et supposent que les requêtes SQL sont des commandes sûres. Cela signifie qu'une requête SQL est capable de contourner les contrôles et vérifications, comme les identifications, et parfois, les requêtes SQL ont accès aux commandes d'administration. L'injection SQL directe est une technique où un pirate modifie une requête SQL existante pour afficher des données cachées, ou pour écraser des valeurs importantes, ou encore exécuter des commandes dangereuses pour la base. Cela se fait lorsque l'application prend les données envoyées par l'internaute, et l'utilise directement pour construire une requête SQL. Avec le manque de vérification des données de l'internaute et la connexion au serveur avec des droits de super utilisateur, le pirate peut créer des utilisateurs, et créer un autre super utilisateur. Exemple #2 Exemple d'injection SQL Exemple #4 Révélation des mots de passe <?
sans titre Havij est un outil automatisé d’injection SQL qui permet aux testeurs de pénétration de trouver et identifier les vulnérabilités SQL d’un site web . Il est développé par ITSecTeam, une société de sécurité iranienne. Havij a été publié en 2010 et depuis sa sortie, plusieurs autres outils d’injection SQL (tels que sqlmap ) ont été introduits. Cependant, Havij est toujours actif et couramment utilisé par les testeurs de pénétration. Qu’est ce qu’on peut faire avec Havij ? En utilisant ce logiciel, un utilisateur peut récupérer les utilisateurs d’une base de données, les mots de passe, les tables et les colonnes, et même exécuter des commandes linux à distance sur le système d’exploitation du serveur hébergeur. La puissance de Havij qui le rend différent des autres outils d’audit de la sécurité informatique sont ses méthodes d’injection. Comment détecter une faille SQL avec Havij ? Pour utiliser cet outil, il faut tout d’abord apprendre à comment fonctionne une injection SQL.
Tails Pour utiliser Tails, éteignez l'ordinateur et démarrez-le sur votre clé USB Tails à la place de Windows, macOS ou Linux. Vous pouvez transformer temporairement votre propre ordinateur en une machine sécurisée. Vous pouvez également rester en sécurité en utilisant l'ordinateur d'une autre personne. Tails s'installe en ½ heure, après un téléchargement de 1.2 GB . Plus de raison de s'inquiéter des virus car Tails fonctionne indépendamment du système d'exploitation habituel et n'utilise jamais le disque dur.
Cross-site scripting Un article de Wikipédia, l'encyclopédie libre. Le cross-site scripting est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style)[1], X se lisant « cross » (croix) en anglais. Définition[modifier | modifier le code] Le terme cross-site scripting n'est pas une description très précise de ce type de vulnérabilité. Mark Slemko, pionnier du XSS, en disait : « Le problème n'est pas simplement le 'scripting', et il n'y a pas forcément quelque chose entre plusieurs sites. — Mark Slemko, « Cross Site Scripting Info », sur The Apache HTTP Server Project, février 2000 Le principe est d'injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, ou par des paramètres d'URL. La détection de la présence d'une faille XSS peut se faire par exemple en entrant un script Javascript dans un champ de formulaire ou dans une URL : <script type="text/javascript">alert('bonjour')</script> Risques[modifier | modifier le code]
sans titre Si vous cherchez à créer un PC virtuel rapidement et facilement, il existe un service nommé SADD qui devrait vous plaire. SADD (Scalable Anonymous Disposable Desktop) est un site amusant qui vous donne accès à une machine virtuelle sous Windows ou Kali Linux gratuitement pendant 15 minutes. Le temps de tester un logiciel Windows ou un script Linux, de tenter une manipulation hasardeuse ou de naviguer via TOR puisque le logiciel est installé de base dans la version payante. Pas de téléchargements, pas de logs, pas d’historique, les utilisateurs n’ont pas besoin d’entrer d’informations personnelles les concernant pour utiliser ce service. 1) Accédez au site Web SADD.IO. 2) Une machine virtuelle (VM) est généré et routé via Tor. 3) À la fin de la session utilisateur, la machine virtuelle est détruite. [gdlr_video url= » Tutoriels qui pourraient vous intéresser
Le malware CryptoPHP infecterait plus de 23000 sites dont 1000 en France CryptoPHP est un malware que la société de sécurité Fox-IT vient dévoiler dans un livre blanc. Ce malware qui s'en prend aux sites web sous CMS Drupal, Joomla! et WordPress a pour originalité de ne pas profiter d'une vulnérabilité de ceux-ci pour s'y installer. Après tout, pourquoi se fatiguer, quand il est plus simple de demander aux webmaster de l'installer eux-mêmes sur leurs propres sites ? :-) C'est toute l'idée de CryptoPHP qui vérole des applications payantes, thèmes ou plugins, mais dans ce cas proposées en téléchargement gratuit. Une fois installé, CryptoPHP, dont il existerait déjà au moins 16 variantes, est là et bien là. CryptoPHP est très discret, c'est pourquoi, selon Fox-IT, de nombreux sites sont infectés, sans même le soupçonnerne serait-ce qu'un peu. Une simple petite ligne de code PHP dans le plugin ou le thème vérolé : charge ceci, d'où le nom de CryptoPHP donné par Fox-IT à ce malware : Ces scripts peuvent être téléchargés sur Git Hub.
XSS - Cross-Site Scripting Injection de code malicieux Les attaques de type Cross-Site Scripting (notée parfois XSS ou CSS) sont des attaques visant les sites web affichant dynamiquement du contenu utilisateur sans effectuer de contrôle et d'encodage des informations saisies par les utilisateurs. Les attaques Cross-Site Scripting consistent ainsi à forcer un site web à afficher du code HTML ou des scripts saisis par les utilisateurs. Le code ainsi inclus (le terme « injecté » est habituellement utilisé) dans un site web vulnérable est dit « malicieux ». Il est courant que les sites affichent des messages d'information reprenant directement un paramètre entré par l'utilisateur. Ainsi, si aucun contrôle n'est effectué sur le contenu fourni par l'utilisateur, il est possible d'afficher du code HTML arbitraire sur une page web, afin d'en changer l'aspect, le contenu ou bien le comportement. Conséquences Persistance de l'attaque Exemple <SCRIPT> document.location=' Attaque croisée
sans titre I2P est un réseau anonyme qui ressemble plus à Tor qu’aux autres logiciels de type «darknet». Non seulement, il partage son architecture en «oignons», mais il permet, en plus d’avoir accès à des sites cachés (les eepSites équivalents des hidden services de Tor), de se connecter de manière anonyme au réseau Internet. Comme sur l’utilisation TOR, seul le nœud sortant a connaissance de l’information en clair, mais il ne sait pas qui l’a demandé. Mais ce qui va nous intéresser, ici, c’est le support du protocole BitTorrent. Certes, les fonctionnalités sont réduites notamment à cause de l’interface Web qui offre moins de liberté qu’un véritable logiciel, mais ces téléchargements sont anonymes et passent complètement inaperçus aux yeux de la «surveillance». Attention: Il ne s’agit pas de n’importe quel torrent. Donc si vous souhaitez simplement télécharger des torrent en anonyme depuis torren9, t411 ou autres, je vous recommande de lire cet article: VPN pour télécharger Torrent anonyme.