Arachni est un scanner de vulnérabilités automatisé Open-Source créé par Tasos Laskos. Il propose un environnement stable, la génération de rapports et offre la possibilité d’écrire des plugins facilement et rapidement. Site officiel : http://arachni.segfault.gr/news Fonctionnalités General : Support cookie-jar ; Support SSL ; Support de proxy (SOCKS4, SOCKS4A, SOCKS5, HTTP) + authentification ; Spoofing du user [...]
Hello all, Tout d’abord désolé de ne pas avoir posté d’article depuis un bout de temps. Entre mon déménagement, le temps d’attente pour la récupération du net, le boulot, les conférences SSTIC, Hack In Paris, NDH2K11, et s’occuper de la petite, ca ne laisse pas beaucoup de temps. En tout cas, cela fait extrèmement du [...]
Je viens de me rendre compte qu’au fil des articles présentés sur ce blog, je n’ai pas présenté les outils les plus utilisés dans le monde des tests intrusifs tels : Nessus, Acunetix, w3af, Qualys, AppScan etc. Nous allons remédier à cela ! Nessus est un scanner réseaux édité par Tenable Network Security permettant de [...]
BBSAK est un outil gratuit fonctionnant sur Windows permettant d’extraire plusieurs informations d’un BlackBerry. L’outil est aujourd’hui capable de plusieurs fonctionnalités telles : Dump des données du téléphone ; Backup des applications tierces ; Installer et retirer des fichiers .cod (application signé pour pouvoir les utiliser sur BB) ; Créer et installer des fichiers JAD [...]
Plecost est un script Python permettant de retrouver la version installée d’un WordPress ainsi que des plugins installés. L’outil fournit en sortie, le nom du plugin, la dernière version en date ainsi que la version installée (utile lorsque l’on souhaite auditer un WP). Le seul inconvénient que je peux faire concernant Plecost est qu’il n’est [...]
Juste un petit article pour faire passer l’info: 2 stages sont à pourvoir chez Bull à compter du mois de mars-avril pour une durée de 4 à 6 mois. Voici les 2 sujets: Outils de visualisation de la réponse aux incidents sécurité: Sous la responsabilité d’un consultant sécurité informatique, votre projet de stage consiste à [...]
Mantra est une version portable du navigateur Web Firefox regroupant une collection de modules utiles lors de tests d’intrusions. Il m’est arrivé à plusieurs reprises d’avoir besoin des mes modules habituels sur des machines autre que la mienne et il est vrai que de les télécharger peut être une tâche longue et ennuyante. C’est là [...]
Burp Suite est une plateforme complète permettant d’effectuer des tests de sécurité sur des applications Web. Pour faire simple, vous faites passer toutes les requêtes Web par Burp afin de pouvoir les analyser/modifier et les rejouer à votre guise. Grâce à cette capture, il devient assez simple d’approfondir la recherche de vulnérabilités Web de types [...]
XSSploit est un outil permettant d’automatiser la détection et l’exploitation de vulnérabilités Cross Site Scripting (XSS). Il a été développé en Python ce qui en fait un programme multi-plateforme. Dans un premier temps, l’outil va scanner entièrement votre site Web et identifier les différents formulaires/pages qui sont susceptibles d’être faillibles. Ensuite, l’outil va lancer des tests [...]
M’intéressant fortement à l’analyse forensique ces derniers temps, j’ai décidé de faire un article pour présenter ce vaste domaine. Définition Lors d’un incident de sécurité au sein d’un SI, il est nécessaire de comprendre le mode opératoire de l’attaquant afin de retracer ses actions, mais également de pouvoir collecter assez de preuves pour pouvoir porter [...]