Sécuriser un site Web De Memodev. La sécurité est primordiale sur un site internet. Il est impératif de comprendre que la sécurité est une mesure, pas une caractéristique. Se demander si sont site est sécurisé est aussi subjectif que de se demander si quelque chose est super. Il faut donc que le niveau de sécurité requis soit en équilibre avec les dépenses (passé du temps pour la sécurité en correspondance avec le niveau de sécurité désiré). Pré-requis La complexité du code est à proscrire, un code illisible n'est pas sécurisable. Les meilleurs tutoriels pour sécuriser son site Web Checklist de la sécurité en PHP Apprendre les différentes failles htaccess Tutoriel simple sur les .htaccess Tutoriel assez complet sur les .htaccess , avec des liens intéressants Tutoriel assez complet sur les .htaccess Tutoriel de développez.com sur les .htaccess Aide mémoire sur les .htaccess et aide mémoire sur le mode rewrite Bonnes pratiques pour sécuriser son site Web Bien configurer votre serveur Dans un .htaccess. if (! Sources
Apprendre le hacking - Les bases du hack et la sécurité informatique, le site du vrai hacking 10 outils de hacking pour les experts - Journal du Net Solutions Exploits, monitoring de réseau Wi-Fi, cassage de mot de passe, injection de code, sniffing, audit de vulnérabilité, 10 outils incontournables pour l'audit et les tests d'intrusion. Metasploit, John The Ripper, Nmap, Nessus, WebScarab, ces logiciels, souvent en Open Source, constituent l'arsenal des experts en sécurité et des RSSI pour la conduite de tests d'intrusion sur les réseaux et les applications Web. Notre sélection : Metasploit Metasploit est une plate-forme Open Source de tests d'intrusion embarquant des fonctionnalités d'automatisation d'exploitation de failles et de création d'exploits. John The Ripper Conçu par Alexander Peslyak alias Solar, John The Ripper est un logiciel Open Source est un spécialiste de la casse de mots de passe. Aircrack-ng Distribué sous licence GNU GPL, Aircrack-ng englobe plusieurs outils d'audit et de monitoring de réseaux sans fil. Wireshark Nmap Nmap est également un logiciel Open Source. Nessus Cain & Abel Paros Proxy WebScarab Burp Suite
Alvasoft.net > Windasm logiciel pour désassembler 1. Qu'est-ce qu'un désassembleur ? Un désassembleur sert à voir ce qu'il y a à l'intérieur d'un programme (EXE, DLL,). Pour voir ces instructions assembleur, il vous faut donc un désassembleur et donc W32Dasm. L'avantage de W32dasm est qu'il possède aussi la fonction de debugging (permet d'exécuter pas à pas les instructions assembleur) et de ce fait, cela peut épargner l'utilisation de SoftIce (maître incontesté du debugging). 2. 2.1. Open File to Disassemble : Permet l'ouverture du fichier à désassembler.Disassembler Options :A cocher : Enable JUMP CONDITIONAL ,JUMP INCONDITIONNAL + CALL (X référence) [options par défaut]. Ces choix sont faits pour afficher ou non les CALL et JUMP qui vont appeler les routines qui suivent. 2.2 Project Open Project File : Permet d'ouvrir un fichier projet précédemment sauvegardé. 2.3 Debug Load Process : Charge l'exécutable en mémoire. 2.4 Search Find Text :Utile pour la recherche d'une suite de caractères de toutes sortes. 2.5 Goto 2.6 Execute Text 2.9 Refs
Comment bien utiliser MetaSploit ? Comment bien utiliser MetaSploit ? Je vous parle de temps en temps de MetaSploit, cet outil qui permet de réaliser des audits en sécurité et de tester / développer ses propres exploits. Au premier abord, MetaSploit n'est pas évident à prendre en main, et les tutos disponibles à ce sujets sont un peu confus et éparpillés un peu partout. Bref, tout ça c'était avant que je tombe sur le site d'Offensive Security qui propose tout un doc sur la façon de se servir de Metasploit et de créer ses propres modules. Ok c'est en anglais mais c'est très clair, simple à comprendre et bien illustré. Bonne découverte ! Puis si vous avez d'autres ressources a ce sujet (en français ?) Vous avez aimé cet article ?
Tutoriel crack de clé WEP: Cracker une clé WEP en quelques minutes sous Backtrack avec Aircrack-ng Crack de clé WEP sous Backtrack 3 beta avec la suite Aircrack-ng A travers cet exercice, nous allons voir comme il est aisé de cracker un réseau wifi encrypté en WEP avec la suite aircrack-ng. 1/ Introduction, explications préliminaires Pour cet exemple, nous allons cracker une Livebox utilisant le WEP. La méthode de crack est la meme sur toutes les box en WEP. -Procurez vous un live cd de Backtrack 2 ou Backtrack 3 (distribution Linux live cd disponible au téléchargement sur le site de remote exploit). -Lisez l'introduction du tutoriel Crack de clé WPA afin de vous familiariser avec l'environnement Linux -Assurez vous que vous disposez d'une carte wifi compatible mode monitor et injection Bootez votre ordinateur avec le live cd de Backtrack. 2/ Airodump-ng, découverte des réseaux wifi Commencez par passer votre carte wifi en mode monitor afin de pouvoir écouter les réseaux wifi environnants. airmon-ng start wlan0 -c permet de cibler l'écoute sur un canal wifi particulier. Dans notre exemple:
Autoformation Nous vous proposons d’approfondir ou de rafraîchir vos connaissances sur la sécurité informatique grâce à ces modules interactifs d’autoformation. Ces modules cherchent à couvrir progressivement l’essentiel des thèmes fondamentaux de la sécurité des systèmes d’information. L’enrichissement de cette offre tiendra compte des remarques que vous accepterez de nous faire au travers du questionnaire ci-dessous. Pour que nous puissions répondre à vos souhaits, nous vous remercions de bien vouloir le remplir aussi précisément que possible. Attention : Pour permettre un contenu pédagogique riche, ces modules utilisent la technologie Flash. Administration électronique et SSICe module va vous aider à comprendre pourquoi la sécurité des systèmes d’information (SSI) est l’un des enjeux majeurs de l’administration électronique et comment elle s’intègre pleinement dans une stratégie globale qu’il faut prendre en compte sans attendre.
Portable Executable File Format - Wikipédia Un article de Wikipédia, l'encyclopédie libre. Le format PE (Portable Executable, exécutable portable) est le format des fichiers exécutables et des bibliothèques sur les systèmes d'exploitation Windows 32 bits et 64 bits : .exe (programmes), .ocx (OLE et ActiveX), .dll et .cpl (élément du panneau de configuration Windows). C'est un format dérivé du COFF. Historique[modifier | modifier le code] Schéma du Format PE[modifier | modifier le code] Un fichier exécutable PE est structuré de la façon suivante : Les deux premiers octets du fichiers représentent les caractères MZ. En-tête MZ sous MS-DOS[modifier | modifier le code] On reconnaît par exemple : e_magic qui doit valoir "MZ"e_lfanew qui contient l'adresse du début de l'en-tête PE Segment DOS[modifier | modifier le code] Le segment DOS est exécuté au cas où Windows ne reconnaîtrait pas le fichier comme étant au format PE ou que vous tentez de le lancer sous MS-DOS. En-Tête PE[modifier | modifier le code] Répertoires[modifier | modifier le code]
Apprenez à utiliser Metasploit avec des tutos et des vidéos Metasploit est une bonne plateforme pour quiconque souhaite tester des failles de sécurité ou réaliser des "exploits" mais il n'est pas simple de l'utiliser et beaucoup se retrouvent vite perdu lorsqu'ils essayent de pousser un peu plus la chose. Pour vous aider dans votre apprentissage, je vous ai trouvé quelques liens sympa avec des tutoriels et des vidéos expliquant les principes de bases de Metasploit. Tout d'abord, un bon tuto vidéo de chez IronGeek vous montrera (même si vous ne parlez pas anglais), ce qu'il faut faire étape par étape pour utiliser. Ce tuto aborde l'utilisation de Metasploit à partir du Live CD Auditor pour compromettre un Windows XP non patché via la faille RPC DOM. Metasploit chez IronGeek Ce doc est une présentation par HD Moore lui-même au CanSecWest 2006:csw06-moore.pdf Et voici quelques vidéos : Computer defense - TASK Presentation Les vidéos les plus à jour pour Metasploit 3 sont dispo ici : Découvrez Metasploit 3 et sa nouvelle interface web - Partie 1
Logique de Sécurité des Systèmes d'Information Chaque société dispose aujourd'hui d'un volume non négligeable d'informations aux formats informatiques, ces données sont souvent d'une importance cruciale dans la survie de l'entreprise. Il est donc important de protéger ces informations, aussi bien de la divulgation, que de l'altération. La SSI, est la Sécurité des Systèmes d'Information, elle doit être au centre de toute société voulant préserver ses travaux, ses secrets, ses avantages concurrentiels, … Pour obtenir le résultat escompté, les moyens sont : la classification de l'information ; le choix des mots de passe ; la protection du poste de travail ; la cryptographie ; la sauvegarde. Cet article ne traitera bien sûr que de la SSI appliquée à l'informatique, la SSI couvrant un domaine bien plus important, concernant le recrutement, la sécurité des locaux, la sécurité des informations aux formats papiers, … Pour être efficace dans la mise en place d'une SSI, il faut savoir quels documents méritent ou non une protection.
Ivanlef0u's Blog .:: Phrack Magazine ::.