Catégorie : Linux

Diagnostiquer vos failles SQL avec SQLMAP

kali linux

Les failles dites SQL sont également « injections SQL » permettent à un attaquant d’avoir accès aux informations stockés dans votre base de donnés.
L’attaque se déroule comme pour une faille dite XSS en jouant sur les syntaxes envoyés. Si le webmaster n’a pas correctement rédigé et sécurisé sont code certain indice laisse penser à une faille SQL. Tout comme pour les failles XSS il existe beaucoup de possibilités d’exploitation aussi l’outil SQLMAP permet de scanner de manière complète une URL afin de découvrir des failles SQL potentielles.

Continuer la lecture de Diagnostiquer vos failles SQL avec SQLMAP

Diagnostiquer vos failles XSS avec XSSER

kali linux

Dans ce billet je vais présenter le paquet XSSER sous Kali Linux qui permet de diagnostiquer si certain de vos sites peuvent être victime de failles XSS. Les failles XSS sont décrite comme des vulnérabilités permettant à l’attaquant d’injecté du code et ainsi permettre des actions non désiré pour un visiteur. On peut ainsi citer le vol de cookies, la redirection vers une page de phising ou autres …

Les failles XSS sont généralement présente dans les variables passés en URL.

EX :

http://www.lesitevulnerable.ledomain/index.php?recherche=larecherchedunutilisateur

devient

http://www.lesitevulnerable.ledomain/index.php?recherche=<h1>affichage de texte</h1>

Pour cette exemple je me suis contenté d’inscrire brutalement des balises HTML afin de faire comprendre l’idée. On peut cependant faire passer sous plusieurs formes des arguments. XSSER permet de tester toutes (ou presque) les combinaisons possibles de failles XSS.

Ainsi on va lancer l’interface graphique de l’outil via, xsser — gtk.

0 lancement xsser

Continuer la lecture de Diagnostiquer vos failles XSS avec XSSER

Installation de l’application WEB GLPI sur Debian

0 logo glpi

Dans ce billet je détail une procédure simple afin d’installer GLPI sur un serveur Web Apache. La procédure se déroule dans un environnement Linux Debian. Je pars du principe que la machine possède un serveur WEB/SQL en local. (127.0.0.1)

Pour débuter je vais faire une présentation rapide de GLPI. Lr projet a été lancé en 2003 par une communauté. On le désigne comme une application web permettant dé gérer un parc informatique ainsi que les services associés. Il est distribué sous licence GPL et donc gratuit.

Vérifiez que PHP et MYSQL sont bien installé et à jour :

aptitude install php5-mysql

Continuer la lecture de Installation de l’application WEB GLPI sur Debian

Installation et Configuration IPcop sur VMware Workstation

vmware logo

Dans billet je vais présenter une procédure simple afin d’installer de configurer ipcop sous vmware workstation. IPCOP est une distribution très légère (environ 70mo) qui ne demande pas une très grosse configuration. Je me contente donc de 256 de RAM avec un disque dur de 1Go. Le réseau sera simple avec un zone dite GREEN, ORANGE (DMZ), RED.

Lors de la création de la machine virtuelle pensez à séléctionner « Custom » comme type d’installation. Je vais détailler rapidement chaque élément de l’installation custom.

Continuer la lecture de Installation et Configuration IPcop sur VMware Workstation

Installer VmWare Tools dans une machine virtuelle

kali linux

Dans un précédent billet je détaillais le procédure d’installation des additions invités sous VirtualBox. Dans ce billet je vais présenter une solution simple pour installer rapidement les outils VmWare dans une machine virtuelle Kali Linux (Linux kali 3.14-kali1-686-pae #1 SMP Debian 3.14.5-1kali1 (2014-06-07) i686 GNU/Linux)

Pour déterminer la version de votre systeme, insérez uname -r dans votre invité de commandes.

Les outils VmWare permettent d’avoir accès à un grand nombre d’options supplémentaires comme le partage de dossier entre le système Host et la machine virtuelle, les outils permettent également d’avoir un presse papier commun entre la machine hôte et la machine virtuelle.( Copier coller entre la machine virtuelle et la machine hôte) Les outils améliore également la gestion de la mémoire, les performances réseau et la gestion des protocoles de communication entre l’hôte et les invités.

Continuer la lecture de Installer VmWare Tools dans une machine virtuelle

La recherche d’adresses e-mail et de noms d’utilisateurs avec TheHarvester

theharvester menu laintimes

TheHarvester permet de rechercher des noms d’utilisateurs ou des adresses mails provenant de différentes sources publiques comme les moteurs de recherches. On peut également retourner les domaines qui pointe vers le votre dans le virtualhost.

Le test s’effectu sur une machine tournant avec Kali Linux 3.14.(3.14-kali1-amd64)
Dans ce billet je vais présenter la collecte d’adresses e-mail et de noms d’utilisateurs sur mon domaine laintimes.com avec le moteur de recherche Google ainsi que la liste des domaines présent sur l’host virtuel de votre domaine. Vous pouvez également ne pas spécifier de moteur en le remplaçant par « all ».

Continuer la lecture de La recherche d’adresses e-mail et de noms d’utilisateurs avec TheHarvester

La collecte de Meta donnés avec Metagoofil

metagoofil laintimes

Metagoofil est un outil permettant la collecte de meta donnés, on entend par la les informations potentiellement compromettantes contenue dans vos documents. Ce billet n’a pas pour objectif de promouvoir le piratage. Il est utile de pratiquer ce genre de tests sur vos domaines afin de vous assurer que les failles « rependues » soient détectées et fixées rapidement !

Dans ce billet je vais détailler la commande d’exemple permettant un diagnostic rapide, le test s’effectu sur une machine tournant avec Kali Linux 3.14.(3.14-kali1-amd64)

Continuer la lecture de La collecte de Meta donnés avec Metagoofil

Commandes de bases pour administrer IPCOP

ipcop starter

Dans un article précédent je présentais la distribution IPCOP qui permet un filtrage du trafic réseaux. Il existe quelques commandes de bases à savoir afin de se simplifier la vie. le billet sera mit à jour régulièrement avec les points importants à conserver.

Continuer la lecture de Commandes de bases pour administrer IPCOP

Authentification LDAP sur Apache2 depuis Debian

ldap logo

Dans ce billet je présente une procédure simple afin de mettre en place une authentification avec le protocole LDAP depuis un AD sur un serveur apache déployé sur un Debian 6. Le protocole LDAP désigné « Lightweight Directory Access Protocol » est un protocole qui permet l’interrogation et la modification des services d’annuaire. Le protocole est basé sur TCP/IP.

Continuer la lecture de Authentification LDAP sur Apache2 depuis Debian