• STATISTIQUES
  • Il y a eu un total de 0 membres et 33234 visiteurs sur le site dans les dernières 24h pour un total de 33 234 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités
    [EN] Hack This Site
    Hack This Site est considéré comme un réel terrain d'entraînement légal pour le...
    Hacking
    [EN] Listbrain Version 3
    Site proposant 66 challenges présentés dans une liste mélangée.
    Challenges
    [FR] PHP France
    Pour tout savoir sur le PHP, en français. Vous trouverez des tutoriels, des exemples, des astuces, toute la do...
    Hacking
    [EN] hax.tor
    50 level de challenges mélangés
    Challenges
    [FR] Hackfest
    Le Hackfest est un évènement de sécurité et de piratage informatique au Québec reg...
    Hacking
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Recherche de failles manuellement
07-02-2016, 18h35
Message : #1
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
Recherche de failles manuellement
Bonjour,
Désirant d'apprendre la sécurité informatique quelques choses me bloque. Beaucoup de personne parle du fait que la recherche de failles de sécurité à la main est la meilleur solution.

J'ai trainais des heures sur google, je n'ai jamais eu des informations à propos de ça.
Du coup quand je scan un truc je le fait par Vega chose pas utile. J'aimerais apprendre à le faire à la main quelqu'un aurait quelques ressources qui ferait augmenter mon savoir ?

Merci Smile
+1 (0) -1 (0) Répondre
07-02-2016, 18h43
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Recherche de failles manuellement
Bonjour,

Disons que le scan "à la main" est plus pédagogique que réellement utile je suppose (le RE/analyse de malwares étant largement plus mon dada que le webhaxoring), puisque ça t'oblige à te creuser le ciboulot pour essayer de voir où pourrait se cacher une faille (typiquement une variable GET numérique qui pourrait être mal protégée côté serveur et mener à une injection SQL°.

Sinon ça peut aussi aider à trouver d'autres failles plus subtiles qu'un outil automatique ne verrait pas forcément, et ça peut aussi laisser beaucoup moins de traces dans les logs/éviter de trigger un WAF quelconque ou se faire ban par un truc du genre fail2ban à force de trop taper sur la cible :] (à noter que la plupart des sites de challenges ont des protections anti-scanners automatiques afin de laisser un intérêt aux épreuves web, ou savent aisément détecter un détecteur de failles avec les outils de monitoring de serveur adéquats).
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-02-2016, 23h50
Message : #3
fr0g Hors ligne
NTEuNDI2MzcsLTEuNzc4NDg4
*****



Messages : 348
Sujets : 22
Points: 56
Inscription : Aug 2011
RE: Recherche de failles manuellement
Hello, étrange que tu n'ai rien trouvé sur le net pour celà, surement pas les bons mots clés, pour reprendre ce qu'a dit supersnail c'est bien entendu plus pédagogique de tester à la mano dans le sens où tu comprend ce que tu fais, ce que tu cherches, ce qu'il se passe, cependant je ne pense pas que ça soit systematiquement moins utile , étant donné que parmi un grand nombre de scanners, beaucoup ont des lacunes en ce qui concerne certaines techniques un peu avancées, (bien qu'un grand nombre soient tout de même très puissants), je pense que pour un pentest complet et efficace, procéder par les deux méthodes n'est pas forcément un luxe si celà t'es possible Smile

en dehors de ça, pour répondre concrètement à ta question, il existe un grand nombre de tutoriels et documentations sur le sujet, pour commencer les tutoriels disponibles ici même sur n-pn, les documentations classiques et efficaces à la owasp (https://www.owasp.org/index.php/Main_Page), le simple fait de cherche un type de vulnerabilité sur le net te mènera presque inéluctablement vers des docs explicant en détails ses causes/particularités/risques.

Les challenges, que tu peux une fois encore trouver ici, afin de te faire la main et d'expérimenter l'exploitation de différents types de vulnérabilités, (jettes aussi un oeil à root-me.org qui dispose d'un grand nombre de challenges, de bonnes documentations, et d'une communauté assez sympatique)

Pense également à rejoindre le channel irc de la communauté n-pn (ou même d'autres dans le domaine), où tu trouveras facilement des contacts qui sauront répondre à tes éventuelles questions.
+1 (0) -1 (0) Répondre
08-02-2016, 14h16
Message : #4
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: Recherche de failles manuellement
Merci pour vos réponse, je vais voir ça Big Grin
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 2 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut