• STATISTIQUES
  • Il y a eu un total de 0 membres et 27970 visiteurs sur le site dans les dernières 24h pour un total de 27 970 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Gekko
    Site de challenge présenter sous la forme d'une quête. Vous êtes un agent secret qui répond sous le nom...
    Challenges
    [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges
    [EN] wechall
    Pour les gens n'étant pas familiers avec les sites de challenges, un site de challenges est un site propos...
    Hacking
    [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges
    [EN] Sabre Films
    Site de challenge présenté sous la forme d'une quête. Vous êtes un détective et devrez résoudre d...
    Challenges
    [FR] Newbie Contest
    Crackme: 35, Cryptographie: 49, Hacking: 27, Javascript/Java: 17, Logique: 31, Programmation: 23, Stéganographie: 53
    Challenges
    [EN] social-engineer
    Site dédié au Social Engineering en général.
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Recherche de failles manuellement
07-02-2016, 18h35
Message : #1
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
Recherche de failles manuellement
Bonjour,
Désirant d'apprendre la sécurité informatique quelques choses me bloque. Beaucoup de personne parle du fait que la recherche de failles de sécurité à la main est la meilleur solution.

J'ai trainais des heures sur google, je n'ai jamais eu des informations à propos de ça.
Du coup quand je scan un truc je le fait par Vega chose pas utile. J'aimerais apprendre à le faire à la main quelqu'un aurait quelques ressources qui ferait augmenter mon savoir ?

Merci Smile
+1 (0) -1 (0) Répondre
07-02-2016, 18h43
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Recherche de failles manuellement
Bonjour,

Disons que le scan "à la main" est plus pédagogique que réellement utile je suppose (le RE/analyse de malwares étant largement plus mon dada que le webhaxoring), puisque ça t'oblige à te creuser le ciboulot pour essayer de voir où pourrait se cacher une faille (typiquement une variable GET numérique qui pourrait être mal protégée côté serveur et mener à une injection SQL°.

Sinon ça peut aussi aider à trouver d'autres failles plus subtiles qu'un outil automatique ne verrait pas forcément, et ça peut aussi laisser beaucoup moins de traces dans les logs/éviter de trigger un WAF quelconque ou se faire ban par un truc du genre fail2ban à force de trop taper sur la cible :] (à noter que la plupart des sites de challenges ont des protections anti-scanners automatiques afin de laisser un intérêt aux épreuves web, ou savent aisément détecter un détecteur de failles avec les outils de monitoring de serveur adéquats).
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-02-2016, 23h50
Message : #3
fr0g Hors ligne
NTEuNDI2MzcsLTEuNzc4NDg4
*****



Messages : 348
Sujets : 22
Points: 56
Inscription : Aug 2011
RE: Recherche de failles manuellement
Hello, étrange que tu n'ai rien trouvé sur le net pour celà, surement pas les bons mots clés, pour reprendre ce qu'a dit supersnail c'est bien entendu plus pédagogique de tester à la mano dans le sens où tu comprend ce que tu fais, ce que tu cherches, ce qu'il se passe, cependant je ne pense pas que ça soit systematiquement moins utile , étant donné que parmi un grand nombre de scanners, beaucoup ont des lacunes en ce qui concerne certaines techniques un peu avancées, (bien qu'un grand nombre soient tout de même très puissants), je pense que pour un pentest complet et efficace, procéder par les deux méthodes n'est pas forcément un luxe si celà t'es possible Smile

en dehors de ça, pour répondre concrètement à ta question, il existe un grand nombre de tutoriels et documentations sur le sujet, pour commencer les tutoriels disponibles ici même sur n-pn, les documentations classiques et efficaces à la owasp (https://www.owasp.org/index.php/Main_Page), le simple fait de cherche un type de vulnerabilité sur le net te mènera presque inéluctablement vers des docs explicant en détails ses causes/particularités/risques.

Les challenges, que tu peux une fois encore trouver ici, afin de te faire la main et d'expérimenter l'exploitation de différents types de vulnérabilités, (jettes aussi un oeil à root-me.org qui dispose d'un grand nombre de challenges, de bonnes documentations, et d'une communauté assez sympatique)

Pense également à rejoindre le channel irc de la communauté n-pn (ou même d'autres dans le domaine), où tu trouveras facilement des contacts qui sauront répondre à tes éventuelles questions.
+1 (0) -1 (0) Répondre
08-02-2016, 14h16
Message : #4
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: Recherche de failles manuellement
Merci pour vos réponse, je vais voir ça Big Grin
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut