http://blog.kreativ-project.com De l'actualité, de la manipulation & des explications :) Wed, 12 Mar 2008 20:57:09 +0000 http://backend.userland.com/rss092 en Une étude de la société BREACH sur les attaques d'applications web en 2007. Il détail les méthodes d'attaque, les types d'attaque, les types de vulnérabilité utilisés, les cibles, ... > A voir : Rapport http://blog.kreativ-project.com/security/2007-web-hacking-accidents/ Une lecture intéressante sur un projet de développement de firewall pour applications Web. A suivre :) WebAppSec ModSecurity Note : Le premier document date un peu mais ça reste intéressant. Edit :  Un autre outil intéressant, PHPIDS. Il vérifie à l'aide de plusieurs règles si les valeurs passées par GET, POST, COOKIE, ou autres sont ... http://blog.kreativ-project.com/security/web-application-firewall/ Dernièrement je suis tombé sur une base de données qui trainait dans la nature contenant 269 478 noms d'utilisateurs accompagnés de leurs mots de passe. Cette base de données provient d'un site populaire en rapport à un jeux multijoueur très en vogue actuellement. Ce site touche donc un public ... http://blog.kreativ-project.com/security/de-lart-du-crackage/ ... même sur w3.org. En effet, le site officiel du WorldWide Web Consortium est vulnérable à cette faille : http://www.php-security.org/MOPB/MOPB-08-2007.html With PHP 4.4.3 a previously fixed bug that was disclosed at the end of October 2005 by the Hardened-PHP Project was reintroduced. Again phpinfo() does not escape the content of user supplied arrays in GET, ... http://blog.kreativ-project.com/security/les-xss-sont-partout/ Il y a peu temps je cherchais à faire fonctionner John The Ripper avec l'md5 (et pas en format FreeBSD). Je n'avais alors pas trouvé grand chose mais voici que je tombe peu de temps après sur cette page : http://planet-websecurity.org/Teaching+John+The+Ripper+how+to+Crack+MD5+Hashes/ Voici donc le récapitulatif des commandes à exécuter sous linux pour ... http://blog.kreativ-project.com/security/john-the-ripper-et-md5/ Voici un briefing non exaustif, sous forme de plan, de manière à récapituler tout ce qui pourrait être prochainement étudié ou résumé sur ce blog. Certains thèmes sont déjà assez vus & revus, mais j'essaierais de m'interesser à des aspects peu connus & plus avancés. Techniques d'Attaques Stored/Reflected XSS SQL Injection Code Injection ... http://blog.kreativ-project.com/security/briefing/ Comme promis, voici la liste des outils dont je me servirais le plus régulièrement sur linux. Bon, déjà on ne compte pas les tools du type : ping, telnet, ... et que sais-je. Pour les extensions firefox, voir : http://blog.kreativ-project.com/?p=4 Nessus Nikto Metasploit (Framework d'exploit) THC Amap (fingerprinting) Spike (fuzzer) Ethereal (sniffeur) Hping (forgeur de paquet) Burp Suite WebScarab Netcat (Connection ... http://blog.kreativ-project.com/pentest/11/ Afin d'évoluer dans ce petit monde affectueux de la sécurité informatique, je vous propose la réalisation d'audits de sécurité gratuit. Ce tests visent à évaluer les vulnérabilitées pouvant exister dans vos applications web et à vous proposer une solution afin d'optimiser la sécurité de vos sites web. Avec rapport détaillé. Pour plus ... http://blog.kreativ-project.com/security/test-de-penetration-gratuit/ Voici un aperçu de ce à quoi ressemble mon nouveau bureau Ubuntu Gutsy Gibbon, qui lui ne m'a pas posé de soucis par rapport à son frère Kubuntu... Pour infos je me suis servis de : Compiz Fusion & Emerald http://blog.kreativ-project.com/linux/mon-nouveau-bureau-nunux/ Voici mon rassemblement de flux RSS, divisé en trois parties : Pour les news : http://www.google.fr/reader/shared/user/10086277851502083607/label/News Pour les blogs francophones : http://www.google.fr/reader/shared/user/10086277851502083607/label/Blog%20S%C3%A9cu%20FR Pour les blogs anglophons : http://www.google.fr/reader/shared/user/10086277851502083607/label/Blog%20S%C3%A9cu%20En http://blog.kreativ-project.com/security/mon-google-reader/