• STATISTIQUES
  • Il y a eu un total de 2 membres et 3540 visiteurs sur le site dans les dernières 24h pour un total de 3 542 personnes!


    Membres: 2 604
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Zmaster
    Articles sur l'informatique, le hacking, le P2P, les divx, les astuces windows XP, les GSM, Emule, la cryptograph...
    Hacking
    [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking
    [EN] xda-developers
    Très bon site pour les gros bidouilleurs de smartphone de windows à androïd et de Apple jusqu'...
    Phreaking
    [FR] Kalkulators
    Ce projet a plusieurs buts, le premier étant l’étude de toutes formes cryptographiques, le cot&ea...
    Cryptographie
    [EN] This is legal
    Basic: 10, Realistic: 5, Programming: 1, Bonus: 11, SQL: 2, Encryption: 6, Application: 4, User Contributed: 3
    Challenges
    [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Recherche de failles manuellement
07-02-2016, 18h35
Message : #1
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
Recherche de failles manuellement
Bonjour,
Désirant d'apprendre la sécurité informatique quelques choses me bloque. Beaucoup de personne parle du fait que la recherche de failles de sécurité à la main est la meilleur solution.

J'ai trainais des heures sur google, je n'ai jamais eu des informations à propos de ça.
Du coup quand je scan un truc je le fait par Vega chose pas utile. J'aimerais apprendre à le faire à la main quelqu'un aurait quelques ressources qui ferait augmenter mon savoir ?

Merci Smile
+1 (0) -1 (0) Répondre
07-02-2016, 18h43
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,608
Sujets : 71
Points: 466
Inscription : Jan 2012
RE: Recherche de failles manuellement
Bonjour,

Disons que le scan "à la main" est plus pédagogique que réellement utile je suppose (le RE/analyse de malwares étant largement plus mon dada que le webhaxoring), puisque ça t'oblige à te creuser le ciboulot pour essayer de voir où pourrait se cacher une faille (typiquement une variable GET numérique qui pourrait être mal protégée côté serveur et mener à une injection SQL°.

Sinon ça peut aussi aider à trouver d'autres failles plus subtiles qu'un outil automatique ne verrait pas forcément, et ça peut aussi laisser beaucoup moins de traces dans les logs/éviter de trigger un WAF quelconque ou se faire ban par un truc du genre fail2ban à force de trop taper sur la cible :] (à noter que la plupart des sites de challenges ont des protections anti-scanners automatiques afin de laisser un intérêt aux épreuves web, ou savent aisément détecter un détecteur de failles avec les outils de monitoring de serveur adéquats).
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-02-2016, 23h50
Message : #3
fr0g Hors ligne
NTEuNDI2MzcsLTEuNzc4NDg4
*****



Messages : 348
Sujets : 22
Points: 56
Inscription : Aug 2011
RE: Recherche de failles manuellement
Hello, étrange que tu n'ai rien trouvé sur le net pour celà, surement pas les bons mots clés, pour reprendre ce qu'a dit supersnail c'est bien entendu plus pédagogique de tester à la mano dans le sens où tu comprend ce que tu fais, ce que tu cherches, ce qu'il se passe, cependant je ne pense pas que ça soit systematiquement moins utile , étant donné que parmi un grand nombre de scanners, beaucoup ont des lacunes en ce qui concerne certaines techniques un peu avancées, (bien qu'un grand nombre soient tout de même très puissants), je pense que pour un pentest complet et efficace, procéder par les deux méthodes n'est pas forcément un luxe si celà t'es possible Smile

en dehors de ça, pour répondre concrètement à ta question, il existe un grand nombre de tutoriels et documentations sur le sujet, pour commencer les tutoriels disponibles ici même sur n-pn, les documentations classiques et efficaces à la owasp (https://www.owasp.org/index.php/Main_Page), le simple fait de cherche un type de vulnerabilité sur le net te mènera presque inéluctablement vers des docs explicant en détails ses causes/particularités/risques.

Les challenges, que tu peux une fois encore trouver ici, afin de te faire la main et d'expérimenter l'exploitation de différents types de vulnérabilités, (jettes aussi un oeil à root-me.org qui dispose d'un grand nombre de challenges, de bonnes documentations, et d'une communauté assez sympatique)

Pense également à rejoindre le channel irc de la communauté n-pn (ou même d'autres dans le domaine), où tu trouveras facilement des contacts qui sauront répondre à tes éventuelles questions.
+1 (0) -1 (0) Répondre
08-02-2016, 14h16
Message : #4
wfr34 Hors ligne
Newbie
*



Messages : 8
Sujets : 2
Points: 0
Inscription : Jan 2016
RE: Recherche de failles manuellement
Merci pour vos réponse, je vais voir ça Big Grin
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut