background preloader

Linux : about Exploit Exercises

https://exploit-exercises.com/

Related:  Administration Réseaux & Sécurité WebSécuritéorthez002

L’attaque par iframe invisible expliquée L’attaque par iframe invisible expliquée Si vous vous êtes toujours demandé comment fonctionnaient les attaques via iFrames invisibles qui forcent le téléchargement d'un malware sur votre ordinateur, Chet Wisniewski de chez Sophos a mis en ligne une vidéo (en anglais) où il vous explique tout ça... It's a trap ! Photo

Récupérer le contenu d’une clé USB en toute transparence Publié le 30 juillet, 2011 par Ahmed Sharebar 316 Grace à un petit soft USBDumper qui se lance en tache de fond sur le PC on peut détecter toute insertion de clé USB dans les ports USB et copier le contenu intégral de celle-ci dans un répertoire sur le disque dur a l’insu de son propriétaire . Un bon exemple valant souvent mieux qu’un long discourt, il est tout d’abord nécessaire de récupérer l’archive « RAR », de l’applicatif USBDumper.rar . Prévu pour Windows. Casser une clé wep/wpa avec la suite Aircrack-ng Introduction Ce tutoriel met en avant un cas simple de crack de clé WEP/WPA-PSK. Le but est de vous familiariser avec les faiblesses du réseau WIFI. Nemesis Introduction Nemesis est un forgeur de packets réseaux multi-protocoles. Usage

Des exercices pour vous former au pentest Des exercices pour vous former au pentest Similaire à l'initiative exploit-exercises, qui permet de se former à la sécurité informatique, voici venu PentesterLab. Ce site, comme son grand frère, propose des images Vmware (ISO) à télécharger gratuitement ainsi que des tutoriels, pour vous former seul au pentesting.

L’ITU et le DPI : ça va être dur d’expliquer ça à ma grand-mère La vulgarisation est un art difficile. Bien entendu, nombre de lecteurs de Reflets sont bien plus calés que nous sur le Deep Packet Inspection et comprendraient très bien, sans vulgarisation, ce que nous pourrions écrire. Mais dans le cas précis, c’est surtout à nos grand-mères, nos mères, M. et Mme Michu, nos enfants, qu’il faut expliquer ce qui suit. Parce que ce qui se décide aujourd’hui à Dubaï est peut-être le début d’un système de surveillance globale à l’échelle de la planète. Donc un peu de vulgarisation s’impose. TUTO HACK: Création d’une clé USB rootkit Aujourd’hui nous allons voir comment créer une clé USB qui récupère les mots de passe d’un ordinateur. Ce rootkit s’exécute automatiquement et récupère la plupart des mots de passe stocker sur votre ordinateur. Il est vraiment très utile surtout quand on a perdu ses mots de passe.

Aircrack-ng, aireplay-ng, airodump-ng, Tutorial crack cle wep Pour tester la sécurité de votre réseau wifi, nous avons besoin de la suite aircrack-ng anciennement aircrack. Par abus de language, on utilisera parfois la dénomination aircrack m�me pour aircrack-ng et ses composants. Cette suite fonctionne sous windows et linux mais certaines fonctionnalités quasi indispensables sont impossibles sous Windows (l'injection de paquets par exemple) c'est pourquoi nous utiliserons une suite linux live (pas d'installation et aucunes connaissances requises): Backtrack, une distribution spécialisée dans les tests d'intrusion. Il existe biensur d'autre distributions comme whax ou encore troppix (toutes ces distrib sont particulièrement adaptées au cracking wep mais une ubuntu ou autre fera très bien l'affaire) Dans ces distributions, tout est déjà préinstallé : les drivers des cartes wifi et tous les logiciels nécessaires (aireplay, airodump, aircrack, wireshark, kismet ..). Personnellement le tutorial a été réalisée avec une carte wifi usb alfa Awus036s.

Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR J'ai eu récemment à retrouver un mot de passe sur un fichier DOC et un fichier XLS (deux formats propriétaires créés par Microsoft). Il s'agissait d'un mot de passe bloquant l'ouverture des fichiers, stocké dans une méthode basique, le XOR (l'algo est légèrement différent pour les deux formats). Visiblement lorsque l'on cherche un peu des logiciels pour faire le boulot, on ne trouve pas de logiciel libre (genre John the Ripper ou autres), uniquement des logiciels propriétaires (et pour Windows). Après avoir lu le support de présentation d'Éric Filiol de Pacsec 2009, jeté un coup d'oeil rapide aux (milliers de pages de) spécifications et retrouvé l'algo en question dans OpenOffice.org/LibreOffice (forcément faut bien qu'ils les ouvrent lui aussi), j'ai commis un petit programme pour vérifier un mot de passe (ou en tester plein si on est motivé). Le tout est disponible sour licence LGPLv3 (histoire de garder la même licence que les 2 fichiers OpenOffice.org utilisés). Cf

Responsive design: comment faire? Une infographie très complète par Splio sur le responsive design et la façon de l’implémenter. Malgré la complexité du sujet le propos est clair concernant la mise en place des media queries selon la taille d’écran. Quelques éléments d’information avant de découvrir l’infographie. Deep packet inspection Un article de Wikipédia, l'encyclopédie libre. Il s'oppose au Stateful Packet Inspection (en), qui ne concerne que l'analyse de l'en-tête des paquets. Le DPI peut provoquer un ralentissement sensible du trafic là où il est déployé. Principe[modifier | modifier le code] Le DPI permet de lire les couches 2 et 3 du Modèle OSI, voire dans certains cas jusqu'à la couche 7, ce qui inclut à la fois les headers (en-têtes), les structures des protocoles et la charge, le contenu du message lui-même. Il peut par ailleurs identifier et classer le trafic à partir d'une base de données de signatures, c'est-à-dire à partir des données contenues dans le paquet lui-même (ce qui permet un contrôle plus efficace que s'il était uniquement basé sur les informations des en-têtes) ; un chiffrage des points de sortie est donc généralement nécessaire pour échapper à une inspection de type DPI.

DVWA: Testez vos compétences en Hacking DVWA (Damn Vulnerable Web App) est une application Web qui est sacrément vulnérables écrite en PHP/MySql . Elle est légère, facile à utiliser et plein de failles à exploiter. DVWA est destiné aussi bien aux professionnels de la sécurité qu’aux personnes souhaitant s’entraîner ou voulant en apprendre plus sur les attaques Web, de tester des techniques d’attaques dans un environnement légal. Les principaux objectifs de DVWA Apprendre à identifié les vulnérabilités des sites et des applications web,Tester les techniques d’exploitation et d’intrusion,Apprendre les méthodes de correction pour mieux sécuriser des systèmes .

Patator – Le logiciel de bruteforce universel Patator – Le logiciel de bruteforce universel Si vous souhaitez tester la force de vos mots de passe afin de déterminer si un hacker chinois peut peut en venir à bout avec un simple bruteforce, il vous faut : Des dictionnairesPythonEt un patator ! Ou plutôt Patator, un script python mis au point par Sébastien Macke, capable de bruteforcer un peu tout et n'importe quoi, que ce soit SSH, SMTP, MySQL, VNC et même les fichiers zip et les DNS (c'est à dire pour débusquer certains sous-domaines inconnus). Il suffit d'utiliser le bon module :

Tamper DATA Aujourd’hui, nous n’allons pas rentrer dans la technique du code mais dans les principes de la sécurité. Le but de cet article est de vous montrer comment un pirate peut malmener votre site internet… Essayez donc de hacker ou de perturber le comportement de votre propre site avec les méthodes de hacking expliquées ci-dessous ; si ces méthodes fonctionnent hélas trop bien, suivez les quelques conseils prodigués ou contactez-nous au plus vite pour réparer votre site Lorsque vous vous trouvez sur un site internet (quel qu’il soit), il y a un échange perpétuel entre votre ordinateur et le serveur en ligne. Votre ordinateur « côté client » par l’intermédiaire de votre navigateur Web (IE, Chrome, Safari…) contacte le site internet « côté serveur » qui lui retournera le résultat sous forme de données, le plus souvent, une page HTML. Lorsque vous cliquez sur un lien, l’événement déclenché est relativement rudimentaire car il ne demande qu’à ouvrir une page.

Related:  Informatique