background preloader

Sécurité

Facebook Twitter

Burp Suite. Burp Suite est une plateforme complète permettant d’effectuer des tests de sécurité sur des applications Web. Pour faire simple, vous faites passer toutes les requêtes Web par Burp afin de pouvoir les analyser/modifier et les rejouer à votre guise. Grâce à cette capture, il devient assez simple d’approfondir la recherche de vulnérabilités Web de types XSS, CSRF, manipulation d’entêtes, etc… L’outil accepte de combiner des techniques dites manuelles avec des procédés automatiques, dans le but de rendre votre travail plus rapide, plus efficace et plus pertinent. La suite incorpore les composants suivants : Burp est simple et intuitif, ce qui permet aux nouveaux utilisateurs de débuter avec l’outil rapidement.

L’avantage principal de Burp réside dans la possibilité de configuration multiple, mais également dans ses nombreuses fonctionnalités permettant d’aider les pentesters les plus expérimentés. 2 versions de Burp sont disponibles : Téléchargement Burp Suite v1.3.03.zip Pré-requis Installation. Welcome [Root Me : Hacking and Information Security learning platform] Juice Shop – Une boutique en ligne trouée pour s’exercer au ethical hacking. Si vous souhaitez vous entrainer un peu au pentest et au bug bounty, il existe un outil baptisé Juice Shop qui se présente sous la forme d’une application web de boutique en ligne et qui intègre l’ensemble du top 10 des vulnérabilités de l’OWASP et bien plus encore. Juice Shop est écrit en javascript et repose sur Node.js, Express et AngularJS. L’application est simple à installer et cela peut se faire par node.js, Docker ou Vagrant pour tourner aussi bien sous Windows, Linux et macOS.

La base de données de Juice Shop est réinitialisée proprement à chaque redémarrage du service et chaque challenge réussi est inscrit sur un tableau de scores et peut être utilisé dans le cadre d’un CTF. Surtout qu’il est possible de personnaliser l’application pour lui donner le look et le contenu de votre choix. Et pour ne rien gâcher, Juice Shop est libre (licence MIT) et en téléchargement ici. Amusez-vous bien ! Et si vous en voulez plus, je vous renvoie à cet article. Comment détecter une attaque KRACK contre votre Wifi ? Chmod Calculator | Chmod Generator | Chmod Command. OpenSnitch - Le clone du firewall Little Snitch pour GNU/Linux. Si vous êtes sous Mac, vous connaissez sans doute LittleSnitch, ce firewall (payant) qui permet de détecter et d’alerter l’utilisateur de toutes connexions entrantes ou sortantes sur la machine. Mais sous Linux, si vous n’êtes pas un cador d’iptables, c’est peut-être un peu pénible pour vous de gérer ce genre de choses.

Heureusement, il existe OpenSnitch, l’équivalent barbu et libre de LittleSnitch qui utilise évidemment iptables couplé à NFQUEUE et ftrace présent par défaut dans le noyau. OpenSnitch va ainsi vous permettre de détecter et d’alerter l’utilisateur d’un poste client Linux que quelque chose ne tourne pas rond. Top pour détecter les trucs louches comme l’exploitation d’une faille ou une fuite de données. Pour l’installer sous Ubuntu : git clone && cd opensnitchsudo apt-get install build-essential python3-dev python3-setuptools libnetfilter-queue-dev python3-pyqt5cd opensnitchsudo python3 setup.py install Et pour le lancer : sudo opensnitch. Hygiène numérique pour l’administrateur système. USB Canary - Pour savoir quand on utilise un port USB à votre insu. Si vous êtes sous Linux et que vous voulez savoir si quelqu'un a branché une clé USB ou un appareil USB sur votre ordinateur pendant votre absence, voici USB Canary !

Cet outil dont les sources et la doc sont dispo ici permet de surveiller vos ports USB, y compris quand votre ordinateur est verrouillé. Ainsi, en cas d'accès, il est capable de vous envoyer un message. C'est du python, donc pour l'installer, il vous faudra des bibliothèques tierces (à installer avec la commande pip) comme : (La doc est ici) Ensuite, en éditant le fichier settings.json, vous pourrez configurer les moyens d'alerte (Slack ou SMS) et pour le lancer (ou l'arrêter) vous n'aurez qu'à lancer la commande suivante : .

/usb_canary.py start | stop | restart Source Rejoignez les 61342 korbenautes et réveillez le bidouilleur qui est en vous Suivez KorbenUn jour ça vous sauvera la vie.. Dagda - Un outil pour analyser la sécurité de vos conteneurs Docker. Dagda est un outil open source codé en Python qui va vous permettre de faire une analyse de vulnérabilités connues dans vos images et/ou conteneurs Docker. Cet outil permet aussi de monitorer les conteneurs actifs afin de détecter d'éventuelles activités anormales. Pour réussir cela, Dagda récupère les infos concernant les logiciels installés dans votre image Docker tels que les packages de l'OS, les dépendances, les modules...etc. et les compare avec une base de vulns. Cette base est alimentée grâce à des sources diverses comme la National Vulnerability Database (NVD) du gouvernement américain, SecurityFocus et Exploit-DB. Dagda conserve aussi les scans passés pour la durée de votre choix afin de pouvoir avoir des points de comparaison.

Le moteur de Dagda est un savant mélange entre Retire.js et l'OWASP Dependency Check , peut analyser les dépendances en Java, Python, NodeJS, Javascript, Ruby et PHP et pour l'analyse comportementale, il intègre Sysdig Falco. Sécuriser facilement et gratuitement un site avec HTTPS. Vous connaissez sans doute tous, Let's encrypt qui permet d'avoir un certificat SSL gratuit pour basculer son site en HTTPS. Mais connaissez-vous Certbot, un outil proposé par l'EFF (Electronic Frontier Foundation) qui permet d'obtenir en une ligne de commande son certificat et de configurer dans la foulée son serveur web ? Je n'avais pas encore pris le temps de le tester et je me dis que c'est l'occasion aujourd'hui de vous en faire un petit tuto rapide. Vous allez voir, c'est rapide, sans douleur et de toute façon, vous devrez tous y passer. Voici donc comment migrer un site web (sous WordPress dans mon exemple, mais ça fonctionne avec tout) de HTTP vers HTTPS.

Première étape : Installer CERTBOT sur votre serveur. Pour cela, téléchargez le script, rendez le executable et lancez-le : wget a+x certbot-auto Seconde étape : Générez les certificats. Si comme moi, vous utilisez nginx, lancez la commande : . Et si vous utilisez Apache : . . crontab -e. Stethoscope de Netflix : un outil open source pour vérifier la sécurité d'une flotte. Avec son outil Stethoscope, Netflix veut vous permettre d'ausculter une flotte de machines. L'application analyse certains points critiques afin de vérifier que la sécurité n'est pas compromise. Le cas échéant, elle donne des conseils. Bien trop souvent, les pirates parviennent à récupérer des informations confidentielles des sociétés en passant par les comptes/terminaux de leurs employés afin de mener leurs attaques. Nous pouvons par exemple citer le cas de Dropbox et du Monde. En cause, le manque de prudence et/ou d'informations de la part des utilisateurs, ce qui en fait une ouverture plus facile que de tenter de casser les protections des serveurs.

Celui-ci s'adresse aux organisations et entreprises qui disposent d'une large flotte de terminaux plutôt qu'aux particuliers. Une présentation simple des résultats L'application récupère les informations des différentes machines depuis LANDESK, JAMF ou Google MDM. Donner des conseils Dépôt GitHub de Stethoscope Sébastien Gavois. GPG : comment créer une paire de clefs presque parfaite. Aujourd'hui, c'est la journée européenne de la protection des données. Nous avons donc décidé de vous occuper avec un nouveau guide qui prend place au sein de notre dossier dédié au chiffrement. Celui-ci vous permettra de créer une paire de clefs GnuPG plus robuste et utilisable au quotidien. Récemment, nous avons débuté un dossier sur le chiffrement.

Tout d'abord en vous permettant d'expliquer au mieux cette notion à vos proches, mais aussi en revenant plus en détail sur l'histoire de GnuPG (GPG) et sur la façon de créer votre première paire de clefs afin de chiffrer des fichiers. En cette journée européenne de la protection des données, nous avons décidé de passer à l'étape suivante : vous permettre de créer une paire de clefs presque parfaite. La seconde question à se poser est « Pourquoi un tel guide est nécessaire ? Nous avons donc décidé de vous détailler quelques étapes à suivre pour mieux comprendre et générer une paire de clefs plus robuste de manière simple.

Gpg> addkey. MIG - Un outil de Mozilla pour faire du Forensics et de la réponse incident en temps réel. Si vous bossez dans la sécurité informatique, sachez que Mozilla a mis en ligne, MIG, une plateforme qui permet de faire de l'analyse ciblée sur des serveurs distants. MIG, grâce à ses agents, collecte des tas d'informations en parallèle sur tous vos systèmes (Système de fichiers, réseau, mémoire, configuration...), permettant ensuite de gagner du temps sur l'analyse d'incidents et vos opérations quotidiennes de sécurité. Imaginez qu'une faille déboule sur PHP et que vous deviez explorer tous vos serveurs pour savoir si cette vulnérabilité est présente ? Et bien grâce à MIG, vous cherchez la signature de la vulnérabilité, à travers tous vos serveurs, et hop, vous avez l'info immédiatement. Explications : C'est parallélisé donc super rapide, les accès aux agents sont sécurisés via PGP, et les agents sont installables sous Windows, Linux et OSX.

Vous pouvez télécharger MIG ici. Rejoignez les 60133 korbenautes et réveillez le bidouilleur qui est en vous. MailSniper, un outil de forensic pour Exchange. Si vous avez de la data Microsoft Exchange à farfouiller, voici MailSniper, un outil qui va vous permettre de rechercher ce que vous voulez dans des emails (information, mot de passe, personnes...etc.). C'est clairement un outil de type forensic à destination des administrateurs Exchange pour fouiller dans toutes les boites associées à un domaine, mais aussi des utilisateurs sans droit admin qui voudraient effectuer des recherches uniquement dans leurs propres emails. En téléchargement sur Github sous la forme d'un Powershell, MailSniper recherche par défaut des termes comme "*password*", "*creds*" ou "*credentials*", mais vous pouvez mettre ce que vous voulez. Voici une démo de la bête : + d'infos ici. Rejoignez les 60149 korbenautes et réveillez le bidouilleur qui est en vous Suivez KorbenUn jour ça vous sauvera la vie..