Burp Suite. Burp Suite est une plateforme complète permettant d’effectuer des tests de sécurité sur des applications Web.
Pour faire simple, vous faites passer toutes les requêtes Web par Burp afin de pouvoir les analyser/modifier et les rejouer à votre guise. Grâce à cette capture, il devient assez simple d’approfondir la recherche de vulnérabilités Web de types XSS, CSRF, manipulation d’entêtes, etc… L’outil accepte de combiner des techniques dites manuelles avec des procédés automatiques, dans le but de rendre votre travail plus rapide, plus efficace et plus pertinent. La suite incorpore les composants suivants : Burp est simple et intuitif, ce qui permet aux nouveaux utilisateurs de débuter avec l’outil rapidement. L’avantage principal de Burp réside dans la possibilité de configuration multiple, mais également dans ses nombreuses fonctionnalités permettant d’aider les pentesters les plus expérimentés. 2 versions de Burp sont disponibles : Téléchargement. Welcome [Root Me : Hacking and Information Security learning platform]
Juice Shop – Une boutique en ligne trouée pour s’exercer au ethical hacking. Si vous souhaitez vous entrainer un peu au pentest et au bug bounty, il existe un outil baptisé Juice Shop qui se présente sous la forme d’une application web de boutique en ligne et qui intègre l’ensemble du top 10 des vulnérabilités de l’OWASP et bien plus encore.
Juice Shop est écrit en javascript et repose sur Node.js, Express et AngularJS. L’application est simple à installer et cela peut se faire par node.js, Docker ou Vagrant pour tourner aussi bien sous Windows, Linux et macOS. Comment détecter une attaque KRACK contre votre Wifi ? Chmod Calculator. OpenSnitch - Le clone du firewall Little Snitch pour GNU/Linux. Hygiène numérique pour l’administrateur système. USB Canary - Pour savoir quand on utilise un port USB à votre insu. Si vous êtes sous Linux et que vous voulez savoir si quelqu'un a branché une clé USB ou un appareil USB sur votre ordinateur pendant votre absence, voici USB Canary !
Cet outil dont les sources et la doc sont dispo ici permet de surveiller vos ports USB, y compris quand votre ordinateur est verrouillé. Ainsi, en cas d'accès, il est capable de vous envoyer un message. C'est du python, donc pour l'installer, il vous faudra des bibliothèques tierces (à installer avec la commande pip) comme : (La doc est ici) Ensuite, en éditant le fichier settings.json, vous pourrez configurer les moyens d'alerte (Slack ou SMS) et pour le lancer (ou l'arrêter) vous n'aurez qu'à lancer la commande suivante : .
Source. Dagda - Un outil pour analyser la sécurité de vos conteneurs Docker. Dagda est un outil open source codé en Python qui va vous permettre de faire une analyse de vulnérabilités connues dans vos images et/ou conteneurs Docker.
Cet outil permet aussi de monitorer les conteneurs actifs afin de détecter d'éventuelles activités anormales. Pour réussir cela, Dagda récupère les infos concernant les logiciels installés dans votre image Docker tels que les packages de l'OS, les dépendances, les modules...etc. et les compare avec une base de vulns. Cette base est alimentée grâce à des sources diverses comme la National Vulnerability Database (NVD) du gouvernement américain, SecurityFocus et Exploit-DB. Dagda conserve aussi les scans passés pour la durée de votre choix afin de pouvoir avoir des points de comparaison. Actuellement, Dagda supporte les images Docker à base de Linux comme Red Hat/CentOS/Fedora, Debian/Ubuntu, OpenSUSE ou encore Alpine Linux. Sécuriser facilement et gratuitement un site avec HTTPS. Vous connaissez sans doute tous, Let's encrypt qui permet d'avoir un certificat SSL gratuit pour basculer son site en HTTPS.
Mais connaissez-vous Certbot, un outil proposé par l'EFF (Electronic Frontier Foundation) qui permet d'obtenir en une ligne de commande son certificat et de configurer dans la foulée son serveur web ? Je n'avais pas encore pris le temps de le tester et je me dis que c'est l'occasion aujourd'hui de vous en faire un petit tuto rapide. Vous allez voir, c'est rapide, sans douleur et de toute façon, vous devrez tous y passer.
Voici donc comment migrer un site web (sous WordPress dans mon exemple, mais ça fonctionne avec tout) de HTTP vers HTTPS. Première étape : Installer CERTBOT sur votre serveur. Pour cela, téléchargez le script, rendez le executable et lancez-le : wget a+x certbot-auto Seconde étape : Générez les certificats. Si comme moi, vous utilisez nginx, lancez la commande : . Stethoscope de Netflix : un outil open source pour vérifier la sécurité d'une flotte. Avec son outil Stethoscope, Netflix veut vous permettre d'ausculter une flotte de machines.
L'application analyse certains points critiques afin de vérifier que la sécurité n'est pas compromise. Le cas échéant, elle donne des conseils. Bien trop souvent, les pirates parviennent à récupérer des informations confidentielles des sociétés en passant par les comptes/terminaux de leurs employés afin de mener leurs attaques. GPG : comment créer une paire de clefs presque parfaite. Aujourd'hui, c'est la journée européenne de la protection des données.
Nous avons donc décidé de vous occuper avec un nouveau guide qui prend place au sein de notre dossier dédié au chiffrement. MIG - Un outil de Mozilla pour faire du Forensics et de la réponse incident en temps réel. Si vous bossez dans la sécurité informatique, sachez que Mozilla a mis en ligne, MIG, une plateforme qui permet de faire de l'analyse ciblée sur des serveurs distants.
MIG, grâce à ses agents, collecte des tas d'informations en parallèle sur tous vos systèmes (Système de fichiers, réseau, mémoire, configuration...), permettant ensuite de gagner du temps sur l'analyse d'incidents et vos opérations quotidiennes de sécurité. MailSniper, un outil de forensic pour Exchange. Si vous avez de la data Microsoft Exchange à farfouiller, voici MailSniper, un outil qui va vous permettre de rechercher ce que vous voulez dans des emails (information, mot de passe, personnes...etc.).
C'est clairement un outil de type forensic à destination des administrateurs Exchange pour fouiller dans toutes les boites associées à un domaine, mais aussi des utilisateurs sans droit admin qui voudraient effectuer des recherches uniquement dans leurs propres emails. En téléchargement sur Github sous la forme d'un Powershell, MailSniper recherche par défaut des termes comme "*password*", "*creds*" ou "*credentials*", mais vous pouvez mettre ce que vous voulez. Voici une démo de la bête : + d'infos ici.