MITM Partie 1 - Attaque MITM sur HTTPS

    Bonjour à tous,

    L’objectif est de partager avec vous un script créé pour automatiser une attaque ‘Man In The Middle’ permettant l’obtention des identifiants de la victime de la façon la plus transparente possible.

    Read more ...

    Anonymat avec TOR et Proxychains sous Kali

    Bonjour à tous,

    Après m’être demandé comment lancer toutes mes commandes derrière un proxy SOCKS pour masquer mon ip (certaines commandes ne proposent pas d’option pour rediriger vers un proxy SOCKS), vous pouvez vous en sortir grâce au réseau TOR et un outil appelé Proxychains.

    Read more ...

    XSS, CORS, CSRF (Partie 3)

    Les requêtes Cross-Site.

    Read more ...

    XSS, CORS, CSRF (Partie 2)

    XSS et vol de cookies par la pratique.

    Vous reprendrez bien un cookie ?

    Dans le premier volet de notre saga, nous traitions des attaques XSS et des moyens de s’en prémunir. Ces vulnérabilités peuvent être utilisées pour voler vos informations de session ou vous rediriger vers un site frauduleux. Vous vous dîtes sûrement : “ok coco en théorie c’est bien sympa tout ça, mais en quoi consiste le vol d’une session, quelles informations sont envoyées et où part la requête ?”.

    Read more ...

    XSS, CORS, CSRF (Partie 1)

    Le XSS, CORS, CSRF… Késako?

    Que se cache-t-il derrière ces acronymes barbares ?

    Bienvenue dans cette saga qui traitera des notions de XSS, CORS, CSRF et du lien entre elles.
    Vous en avez forcément entendu parler si vous avez été impliqués dans la création d’applications WEB. L’idée de cet article m’est venue suite à la création d’une application WEB “cas d’école” en Java https://github.com/phackt/DemoWebApp. La question que nous nous posons est la suivante : quelles sont les bonnes pratiques pour sécuriser une application WEB ?

    Read more ...