• STATISTIQUES
  • Il y a eu un total de 0 membres et 27989 visiteurs sur le site dans les dernières 24h pour un total de 27 989 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Developpez.net
    Un forum communautaire qui se veut pour les développeurs en générale. Avec presque 500 000 membr...
    Programmation
    [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [EN] Framework Metasploit
    Le Framework Metasploit est un logiciel gratuit, open source de tests de pénétration développ&ea...
    Vulnérabilités
    [EN] Sabre Films
    Site de challenge présenté sous la forme d'une quête. Vous êtes un détective et devrez résoudre d...
    Challenges
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [FR] dcode
    dcode.fr est le site indispensable pour décoder des messages, tricher aux jeux de lettres, résoudre des énigmes...
    Outils / Add-on
    [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Pour aller plus loin dans la démarche
08-05-2013, 09h00
Message : #1
oleanna Hors ligne
Newbie
*



Messages : 7
Sujets : 2
Points: 1
Inscription : May 2013
Pour aller plus loin dans la démarche
Hello,

Je voulais savoir si il était possible d'avoir le code des challenges qu'on a déjà terminé afin de pouvoir faire un feedback ensemble sans avoir peur de compromettre le challenge de ceux qui ne si sont pas encore frotté.

Je m'explique,

j'ai réussi une partie des challenges et je remarque que pour certain c'est plus parce que j'y ai été à taton que parce que j'ai vraiment compris le sujet ( j'ai lu sur les topic d'aide en cherchant à comprendre le pourquoi du comment que je n'étais pas le seul ) et donc je me suis dit que ça pouvait être pas mal de :

- voir le code source pour analyser l'action réel entreprise ( pour les injections notamment ) sur le code et ainsi comprendre dans les moindres détails pourquoi ceci marche et pas cela

- mais aussi allez plus loin dans le résonnement !
Je suppose que les challenges sont des "classiques" et donc qu'un autre challenge pourrait être de corriger la faille!

Qu'en pensez-vous ? Smile
+1 (0) -1 (0) Répondre
08-05-2013, 09h10
Message : #2
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Pour aller plus loin dans la démarche
Mhhh je ne pense pas que cela soit possible.
Techniquement, oui on pourrais.
Et tu n'apprendrais rien car ce n'est pas du code ""réel"" tu n'as aucune chance de retrouver ce genre de code en entreprise.
Le code des challenges est ce qu'on appelle "forgé" cad créer uniquement dans le cadre d'un exercice de sécurité, dans un contexte d'entreprise ces code n'ont aucun sens.
je m'explique , dans un projet réel tu peux retrouver l'utilisation de la fonction htmlspecialchars en PHP alors qu'en challenge, on recoderais la fonction à coup de str_replace pour y laisser une faille pour pouvoir l'exploit.
De plus, certains challenges (aucun officielement sur n-pn.fr mais il y en as quand meme un :p ) se sont en whitebox, cad que tu connais le code qui tourne sur le serveur (via une archive à dowload)

Il n'existe (je l'espère) aucun faille *réelle* dans les challenges elles sont *simulées* et cette simulation fait que le code n'est pas utile pour apprendre à se protéger.

Après je laisse les autres répondent Wink
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (1) -1 (0) Répondre
08-05-2013, 09h18
Message : #3
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Pour aller plus loin dans la démarche
Anéfé, les challenges sont simulés (ce qui malheureusement enlève des techniques d'exploitation), par contre on peut toujours considérer l'idée de mettre en place des afterwards pour discuter de la solution des challenges Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
08-05-2013, 12h26
Message : #4
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Pour aller plus loin dans la démarche
Shirobi tu serais surement étonné de voir les mécanismes qu'il y a derrière (en particulier les miens xD )
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (1) -1 (0) Répondre
08-05-2013, 12h37
Message : #5
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Pour aller plus loin dans la démarche
(08-05-2013, 12h24)Shirobi a écrit : "Anéfé" dafuq?

En effet !
+1 (1) -1 (0) Répondre
08-05-2013, 13h45
Message : #6
Machin Hors ligne
Membre actif
*



Messages : 60
Sujets : 1
Points: 16
Inscription : Apr 2013
RE: Pour aller plus loin dans la démarche
(08-05-2013, 12h37)notfound a écrit :
(08-05-2013, 12h24)Shirobi a écrit : "Anéfé" dafuq?

En effet !

Cette tournure a été rendus celebre par Christine Albanel, alors minsitre de la culture, qui l'utilisait a tout bout de champs pendant les debats sur Hadopi à l'assemblé général.
+1 (2) -1 (0) Répondre
08-05-2013, 13h46
Message : #7
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Pour aller plus loin dans la démarche
C'est pas la propriétaire du pare-feu d'open office elle ?
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
08-05-2013, 13h50
Message : #8
Machin Hors ligne
Membre actif
*



Messages : 60
Sujets : 1
Points: 16
Inscription : Apr 2013
RE: Pour aller plus loin dans la démarche
aussi ! Elles a plusieurs exploits à son actif Smile
+1 (0) -1 (0) Répondre
08-05-2013, 14h02
Message : #9
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Pour aller plus loin dans la démarche
(08-05-2013, 13h46)InstinctHack a écrit : C'est pas la propriétaire du pare-feu d'open office elle ?

Si anéfé !
+1 (0) -1 (0) Répondre
08-05-2013, 14h04
Message : #10
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Pour aller plus loin dans la démarche
et sinon revenir sur le sujet principal c'est possible ?
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
08-05-2013, 16h30
Message : #11
oleanna Hors ligne
Newbie
*



Messages : 7
Sujets : 2
Points: 1
Inscription : May 2013
RE: Pour aller plus loin dans la démarche
Le code n'est plus si intéressant à voir que ça ( par rapport au contexte de base, parce que dans un autre contexte comme la création de challenge ça pourrait être utile mais c'est un autre débat ) puisque
c'est des failles précises qui ne seront jamais vue sur le web et donc pas besoin d'apprendre à les corriger... :/

J'aurais aimé pouvoir regarder le code et me dire :

Donc si je fais ça, concrètement ça me donne ça et donc si je ne veux pas que ça se passe comme ça, il faut que je le fasse autrement... ( je pense pas être très compréhensible xD )

Je verrai si je peux pas me faire un site labo :p... J'aime bien expérimenter en apprenant ^^
+1 (0) -1 (0) Répondre
08-05-2013, 18h06 (Modification du message : 08-05-2013, 18h07 par is001_fred.)
Message : #12
is001_fred Hors ligne
Membre actif
*



Messages : 52
Sujets : 4
Points: 29
Inscription : Oct 2011
RE: Pour aller plus loin dans la démarche
Salut oleanna,

Si tu veux apprendre sur de vraies failles, cherche sur le net des sites qui proposent des machines virtuelles (complètes et si possible téléchargeables) volontairement "attaquables". Tu pourras ainsi mettre à l'épreuve tes compétences ET étudier des cas réels (obsolètes) de systèmes d'exploitation ou programmes faillibles. Bon courage ! ;-)
+1 (0) -1 (0) Répondre
08-05-2013, 18h57
Message : #13
oleanna Hors ligne
Newbie
*



Messages : 7
Sujets : 2
Points: 1
Inscription : May 2013
RE: Pour aller plus loin dans la démarche
(08-05-2013, 18h06)is001_fred a écrit : Salut oleanna,

Si tu veux apprendre sur de vraies failles, cherche sur le net des sites qui proposent des machines virtuelles (complètes et si possible téléchargeables) volontairement "attaquables". Tu pourras ainsi mettre à l'épreuve tes compétences ET étudier des cas réels (obsolètes) de systèmes d'exploitation ou programmes faillibles. Bon courage ! ;-)

bha des labos quoi Big Grin !

J'en ai vu que je ne connaissais pas sur un autre thread ^^ !

ça quitte le sujet du feedback tout en répondant à ma question secondaire ^^

Globalement merci à tous pour vos réponses Smile !
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  5) Toujours dans le vrai MadHatter 6 548 10-11-2014, 16h02
Dernier message: gruik
  15) Les variables viennent de loin Di0Sasm 18 1,112 05-11-2013, 00h37
Dernier message: Reynolds

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut