Les mois qui viennent vont être riches en évènements sécurité en tout genre. Histoire de suivre tout ce qui peut se faire en France, vous pouvez consulter l’agenda de la sécurité On notera tout particulièrement Hackito Ergo Sum, avec un programme riche, et des activités classiques (lockpicking, CTF, etc…), Iawacs 2010 qui continue de malmener […]
Depuis deux ans on voit apparaitre divers plug-ins Firefox pour faciliter le travail des développeurs Web, mais aussi des pen-testeurs. Voici une petite collection d’add-ons plus ou moins pratiques, qui vous aiderons dans vos pen-tests…
Fonction de hachage et fonction de chiffrement. C’est une erreur commune de croire que md5, sha1 et ses équivalents plus solides, sont des fonction de chiffrement. En effet, lorsque les mots de passe ne sont pas stockés en clair, il le sont souvent sous la forme d’un condensat (hash), et ce en se basant sur […]
Il arrive parfois de rencontrer des serveurs JBoss dont la console JMX traine nonchalamment sur le réseau derrière un port 8080. En accédant à l’url suivante http://url_jboss:8080/jmx-console vous pouvez accéder à cette console fort pratique, et au travers du Mbean service=BSHDeployer sous jboss.deployer, vous pouvez créer à loisir un script BeanShell. Et ce n’est pas […]
Les applications riches (RIA) posent de nouveaux problèmes aux pen-testeurs, car on se retrouve face à un client lourd, dont le code source n’est pas aussi accessible que peut l’être le Javascript (modulo l’obfuscation 😉 ). Le client lourd en environnement WEB à un premier effet pervers sur le développeur : l’impression de contrôler les […]
Aujourd’hui j’ai reçu mon premier scam !!! A votre aimable attention, Je viens par la présente vous offrir une importante proposition d’affaires qui sera bénéfique pour nos deux parties au terme de la transaction. Etant conscient que sur internet il existe de mauvaises blagues et de gens pas sérieux ,j’ai besoin de quelques précisions sur […]
Voici un petit outil très sympathique pour agrémenter vos rapports d’audit sécu réseau. Il permet entre autre de visualiser les résultats d’un scan nmap exporté au format xml, la classe quoi… Et ça me permet de vous prévenir qu’une nouvelle version d’nmap sortira dans quelques jours avec une nouvelle option fort amusante la détection de […]
Voila un petit outil qui ravira les « têtes en l’air » http://piotrbania.com/all/kon-boot/ Si un attaquant à accès à votre machine, ce n’est plus votre machine…
Ou comment gérer les risques techniques… L’analyse de risque appliquée à la sécurité informatique est, et sera toujours un échec. Elle reproduit la même erreur que lorsque les techniques de calcul de fiabilité issue de l’électronique furent appliqués aux bugs informatiques : l’informatique c’est systématique, et c’est valable aussi bien pour les bugs, que pour […]
Conky c’est un outil de monitoring système ultra configurable qui va changer votre vie sous Linux 🙂 Conky c’est un petit programme qui va vous permettre d’afficher dans une fenêtre ou sur votre fond d’écran, du texte et des informations personnalisées. Jusque là, vous me direz, ça ressemble vachement à GkrellM et cie 🙂 mais […]