Le professeur George Ledin enseigne a ces etudiants le coté obscure de la force, vous l’aurez deviner le professeur ne doit pas etre aprecier pour sa maniere d’ensigner, pour lui les choses sont simple, le pouvoir c’est le savoir, pour en savoir plus je vous laisse avec cette interview de lui.
http://www.newsweek.com/id/150465
Vous le savez tres bien qu’il vaux mieux eviter d’ecrire la nuit, surtout quand on est dans un etat a moitier endormis, donc je vais pas trop ecrire ça sera court et puis j’ai deja trop ecrit là.
xarg le site regroupe des projets PHP tres interessent pour ceux qui veulent travailler dans la reconnaissance facial, biensure il faut installer l’extention a php et qui sais peut etre que ça va etre integrer prochainement
cheat sheets web developer des memos a ne plus quoi savoir en faire en relation avec le frontend d’un projet web
99 graphic design resources le titre explique tout
40 greatest web interface design tutorials photoshop tutorial toujour je vous renvoie au titre, ça me rappel un projet le template du site du jeu
tutorials we heart un site de tutorials que je decouvre (design, fireworks, photoshop,illustrator,pixelmator)
50 websites for free vector images download là c’est une liste de sites pour ressource d’image vectoriel (je suis accro a sa en ce moment)
http://www.agencytool.com/dashboard/ une liste de ressources a garder
free human brush sets and human vector images donc iic les mots clefs sont FREE BRUCH HUMAN VECTOR
Et pour finir
The Ultimate Hacker Web Directory c’est une collection de plus de 1000 liens bien classer ou vous trouverez votre bonheur (merci a l’equipe yehg pour ce projet)
Backtrackbox ce site est tres interessent si vous voulez comprendre les methodes de hacking qui sont souvant utiliser que ça soit sql injection, ou xss ou Rfi bref j’invite tout les gens qui sont responsable de site a le consulter afin de verifier le niveau de securité de leur sites
ktalgerie un nouveau blog algerien qui j’adore sa radio ^^ et ou je pense qu’on va pas s’ennuyer question contenu
sur ceux, Bonne nu……
Et voilà, l’exploit pour le bug dont je vous ai parler est déjà prêt et a même était porter sur metasploit donc j’espère que jawab et compagnie ne vont pas faire la sourde oreille.
source: http://www.darknet.org.uk/2008/07/exploit-for-kaminsky-dns-bug-goes-wild/
Avant de dormir je laisse ces liens qui je trouve tres intéressent.
pour garder la forme on fait du sport et ben en programmation c’est la meme chause, faut pratiquer et pour cela des katas sont là afin de nous aider, je vous conseil fortement d y jetter un oeil.
Un blog qui parle de freelance, et qui m’a beaucoup aider, donc un must pour tout freelanceur debutant ou experimenté.
une liste d’articles a ne surtout pas manquer ou sa parle de js, php, ruby et autre …
Vous l’aurez deviner ici c’est des vidéos ettentielement de design (wordpress et …)
Confession d’un pentester, je pense que ce blog va vous intéressez afin de comprendre les methodes utiliser par les hackers
M’a source preferé, des articles tres riches et orienté pratique
Un reseau social pour hacker, vous trouvez toute une comunauté de partage, j’espere que vous trrouverez votre bonheur?
Sur ce portez vous bien
Ressemant une faille de securité de niveau critique a été decouverte par le chercheur Dan Kaminsky, jusqu’ici rien de tres spectaculaire juste que cette faille affecter tout les serveurs dns ce qui fait qu’elle a engendré la plus grande sincronisation pour reédier a cette faille, j’imagine pas que tout les serveurs du monde vont etre mis a niveau, celà dit l’exploitation de cette require un certain niveau vue sa complexité, et si vous vous demander ce qu’on pourai bien faire avec, ben juste changer les correspondances entre une adresse tel que www.google.com et l’ip correspondante, je vous laisse imager le reste, vous pouvez trouver plus de details sur le site de Dan Kaminsky qui va en parler a la prochaine conference blackhate
Cet article est une traduction d’un article du site www.0×000000.com que j’ai apprécié et qui est très utile, sans trop de bavardage commençons.
Aujourd’hui, j’ai eu le temps pour un autre coup d’œil à mon nouveau. Htaccess, et je peux vous dire que ça deviens de mieux en mieux. Je pense que c’est assez bien fait maintenant, et je suis vraiment heureux avec lui. J’ai également plusieurs questions sur la façon dont il fonctionne exactement. Donc, je poste mon dernier. Htaccess ici, en plus d’une solution sur les différentes règles mod_rewrite-je utiliser
Tout d’abord, voici ma dernière beauté:
RewriteEngine On
Options +FollowSymLinks
ServerSignature Off
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|”>|”<|/|\\\.\.\\).{0,9999}.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC]
RewriteRule ^(.*)$ access_log.php
Tout d’abord, nous défissions la configuration de base de façon à utiliser le module mod_rewrite d’Apache.
RewriteEngine On
Options +FollowSymLinks
Ensuite, notre première règle de base est de désactiver le serveur de signature, qui peut être utile afin de stoper bannière saisir:
ServerSignature Off
je utiliser 2 flags différent, à savoir:
NC - Not Case sensitive
OR - Yep, OR!
La première règle est fondée sur REQUEST_METHOD. La je choisie avec quel méthode mon client va être autorisé a se connecté ou pas accepter ou refusé, donc ici nous allons refusé les méthodes : HEAD ,TRACE ,DELETE et TRACK
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
THE_REQUEST est la totalité de l’url que le client envoie a notre serveur afin d’avoir sa page, et afin d’évité d’avoir 2 requête ou 2 header http et pallié les failles de type http splitter ou l’injection CRLF comme on l’appelait auparavant.
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
HTTP_REFERER peut contenir des caractères qui peuvent utilisé pour un test de pénétration d’une application web ou peu contenir des virus a payload
Donc bloquer tout les caractères qui ne se présenteront pas dans une requête légitime et empêcher que quelque chose de malicieux soit exécuté
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
HTTP_COOKIE c’est la même chose que pour HTTP_REFFERER et ou des caractères ou des payload peuvent être chargé dans des cookies
RewriteCond %{HTTP_COOKIE} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
REQUEST_URI est importante pour la protection d’un serveur, surtout contre les attaques de BufferOverflow ou bien ……
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|”>|”<|/|\\\.\.\\).{0,9999}.* [NC,OR]
Cet ensemble de règles va filtré certaines signatures de navigateurs qui vont nous économisé notre bande passante et éviter de voir s’enflammer notre fichier de log pour rien et contrecarré les plans des pirates les moins expérimenter ….
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
QUERY_STRING est probablement la plus importante de tous étant donné qu’avec on va pouvoir prévenir des attaques de type sql injection ou xss ou remote shell injection .
RewriteCond %{QUERY_STRING} ^.*(;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC]
Finalement dans le ca ou une de c’est règles s’avère être juste on redirige vers un fichier qui va récolter les informations du suspect.
RewriteRule ^(.*)$ access_log.php
Donc j’espère que ce fichier vous sera utile afin d’assurer une meilleur sécurité……
Fin
Donc c’était ma traduction plus ou moins juste, je vous conseil fortement de lire l’article d’origine et aussi de faire un tour su le net pour lire sur le module mod_rewrite d’apache afin d’avoir une meilleur compréhension et n’hésitez pas a partager avec nous votre expérience dans ce domaine, aussi je tien a rappeler que la plupart de c’est attaques vous pouvez les voir sur WebGoat, une derniere chose, j’utilise cette config dans mes projets et jusqu’ici je n’ai pas de problemes (j’utilise zend framework) et meme coté url rewriting mais j’ai pas pu l’utilisé avec wordpress donc si quelqu’un arrive a le faire sa serai sympa de laisser un commentaire pour dire comment.
Article d’origine : http://www.0×000000.com/index.php?i=567
Hum Hum, donc je disais que les sites ce font trop hacker de nos jours, au point de ce dire mais quand mon site va ce faire hacker et surtout comment, cette ambiance de terreur qui règne sur le web ne semble pas s’estompé avec le temps, alors je décide de voir a quel point il est difficile de hacker un site, je me rend compte qu’il y a plusieurs manières de faire l’une d’elle et celle dont nous allons parler étant le SQL injection, hum hum donc SQL pour le langage et injection vous l’aurai deviner parce qu’il s’injecte parement mais il s’injecte ouuuuuuuu, un petit récapitulatif pour les gens qui ne connaisse pas.
Le langage SQL est utilisé pour traiter des donner, et il utilise une approche asser simple et compréhensible qui d’ailleurs sans vous rendre compte vous utilisé la même approche chaque jour, exemple : je veux me rappeler d’une fille avec qui vous êtes sortie vous aller vous connecter a votre mémoire vous aller sélectionner la fille après le jour de votre rendez vous après l’endroit ou vous avez aimer la regarder et après l’image après dans votre esprit, donc là ce que vous venez de faire est tout simplement une requête a votre cerveau, le langage SQL utilise le même système d’approche, on va pas faire un cour de SQL et si vous voulez l’apprendre ce n’ai pas les cours qui manque, on va juste voir une simple requête comment elle est constituer.
Supposant que nous avons une base de données dont le nom est HUM et dans cette base une table qui a comme nom FEMME et dans cette table nous avons des colonnes qui sont (nom,prenom,tel,adresse,beaute) donc récapitulons, nous avons la base HUM qui comporte la table FEMME avec les colonnes qu’on a vue, ok ok, par exemple je voudrai une requête SQL pour afficher ce qu’il y a dans la table FEMME, la première chose est bien sure de ce connecter a la base HUM après j’exécute m’a requête qui est
SELECT nom,prénom,tel,adresse,beaute FROM femme ;
Donc avec cette requête j’aurai tout les enregistrements de la table mais cette table peut avoir plusieurs lignes genre
| Nom | Prénom | tél. | Adresse | beauté |
| Kichigai | Chichi | 0213 2145639 | Street 15 hoem5 | Belle |
| chiva | cami | 0213 1545548 | Street 08 hoem5 | Moche |
| melin | liu | 0213 5145639 | Street 10 hoem5 | Tres mmmm |
Donc là j’ai une table avec 3 lignes, je voudrai sélectionner la ligne ou le numéro de tel est 0213 1545548 donc la 2 eme, en sql ça va se traduire par
SELECT nom,prenom,tel,adresse,beaute FROM HUM.femme WHERE tel = 0213 1545548
Et ça va me retournée la ligne numero 2, en general ce genre de chose comme le numero de tel est transmis par url genre www.domain….com/index.php?tel=0213 1545548
Personnellement quand je vois ce genre d’url ce qui me vien a l’esprit c’est sa ‘+and+1=0—
Ou bien +and+1=0—ceci pour tester si ce site comporte un filtre ou non, et a ma grande surprise beaucoup de site n’ont comporte pas, et si vous chercher sur gougle SQL injection vous aller trouver une multitude d’article qui explique comment utiliser ce moyen pour extraire des données de la base en injection une requête a travers l’url et vous ne vous fatiguerai même pas a tenter et retenter plus 10 emes de fois et dans plusieurs pages potentiellement vulnérable pour trouver la fenêtre d’entré pour avoir le numéro de la jolie femme qui est dans notre cas chichi, donc si vous voulez faire un site et si vous voulez récupérer des info de votre url n’oublier pas de filtrer le contenu car qui sais peut etre que je serai de passage hahahaha.
Quelques lieus qui j’espere vous serons utiles sinon google est votre amis
http://www.unixwiz.net/techtips/sql-injection.html
http://www.security-hacks.com/2007/05/18/top-15-free-sql-injection-scanners
je republie cette article ici afin de faire une suite qui n’est ul autre que comment se protéger, du moins de la plupart des tentatives
source: Medblog
Vous voulez vous amuser alors pourquoi ne pas apprendre en même temps, comme dab quand je commence a avoir sommeil je tombe sur une bombe, un projet qui est non seulement amusant mais très instructif et qui ce nome WebGoat, vous vous demandez surement mais il est entrain de parler de quoi, et bien de hacking bien sure, qui d’entre vous n’a jamais voulu comment hacker un site, du moins les techniques utiliser pour le faire, WebGoat est une application j2ee que vous allez pouvoir télécharger et avec qui vous allez apprendre les différentes technique pouvant mettre a nu votre site, comme vous le savez déjà pour être un bon dans la sécurité faut être un bon hacker, j’imagine que la plupart vont vouloir hacker les sites des autres avec ce qu’ils vont apprendre si jamais ils apprenant je vous le dit des maintenant, WebGoat présente les technique de base, donc si vous n’avais pas l’esprit créatif, un certain bagage et une période de temps non déterminé vous ferai mieux de changer d’amusement, l’utilité de cette application c’est de connaitre certains techniques qui pour beaucoup reste un misère, aussi pour certain problème l’application vous donne une solution afin de contré le problème en question, sans trop en dire je vous laisse le découvrir et partager avec nous ce que vous avez appris et dans quel niveau vous vous êtes arrêté personnellement je suis a la partie XSS mais bon j’ai pas fait le tout , ah oui en parlant de sécurité le Zend Framework intègre une batterie de filtre qui vont protéger votre application contre les attaques de type sql injection,xss et …. , enfin le site ou vous le trouverai http://code.google.com/p/webgoat/ et pour la documetation http://www.owasp.org/index.php/WebGoat_User_and_Install_Guide_Table_of_Contents aussi vous pouvez ajouter des niveaux donc ne nous priver pas de votre savoir et faite nous partager a travers cette application
Sur ceux bon surf
Flux RSS