Anonymat avec TOR et Proxychains sous Kali

    Bonjour à tous,

    Après m’être demandé comment lancer toutes mes commandes derrière un proxy SOCKS pour masquer mon ip (certaines commandes ne proposent pas d’option pour rediriger vers un proxy SOCKS), vous pouvez vous en sortir grâce au réseau TOR et un outil appelé Proxychains.

    Read more ...

    XSS, CORS, CSRF (Partie 3)

    Les requêtes Cross-Site.

    Read more ...

    XSS, CORS, CSRF (Partie 2)

    XSS et vol de cookies par la pratique.

    Vous reprendrez bien un cookie ?

    Dans le premier volet de notre saga, nous traitions des attaques XSS et des moyens de s’en prémunir. Ces vulnérabilités peuvent être utilisées pour voler vos informations de session ou vous rediriger vers un site frauduleux. Vous vous dîtes sûrement : “ok coco en théorie c’est bien sympa tout ça, mais en quoi consiste le vol d’une session, quelles informations sont envoyées et où part la requête ?”.

    Read more ...

    XSS, CORS, CSRF (Partie 1)

    Le XSS, CORS, CSRF… Késako?

    Que se cache-t-il derrière ces acronymes barbares ?

    Bienvenue dans cette saga qui traitera des notions de XSS, CORS, CSRF et du lien entre elles.
    Vous en avez forcément entendu parler si vous avez été impliqués dans la création d’applications WEB. L’idée de cet article m’est venue suite à la création d’une application WEB “cas d’école” en Java https://github.com/phackt/DemoWebApp. La question que nous nous posons est la suivante : quelles sont les bonnes pratiques pour sécuriser une application WEB ?

    Read more ...

    Introduction au SIEM

    SIEM, le monitoring de la sécurité

    Nous avons vu dans un précédent article quel était le contexte réglementaire de la Loi de Programmation Militaire française.

    Que dites-vous d’une petite révision ?

    La LPM impose aux OIV (Opérateurs d’Importance Vitale) de renforcer la sécurité des systèmes d’information critiques qu’ils exploitent et de notifier les incidents de sécurité à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
    Une première vague d’arrêtés a été publiée le 1er juillet 2016. Ces arrêtés concernent les secteurs d’activité des produits de santé, la gestion de l’eau et l’alimentation. Plusieurs autres arrêtés, concernant d’autres secteurs d’activité, devraient paraître d’ici la fin de cette année.

    Read more ...