MISC Hors-série N°
Numéro
1

Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Temporalité
Octobre/Novembre 2007
Image v3
Tests d'intrusion : Comment évaluer la sécurité de ses systèmes et réseaux ?
Article mis en avant

L'information, nouveau nerf de la guerre ?

Résumé

On le sait maintenant, nous vivons dans la société de l'information. Pas plus tard qu'en ce mois d'août 2007, une campagne massive de spams incitait à acheter des actions d'une entreprise quelconque aux États Unis. Cette campagne a porté ses fruits : des achats massifs ont provoqué une hausse de l'action... et quelques petits malins ont vendu leurs actions au bon moment [1]. Alors, l'information comme nouveau nerf de la guerre ?

Cet article présente la collecte d'information (et non son analyse) uniquement axée sur une source ouverte, Internet. Il ne faut pas négliger d'autres sources ouvertes, humaines en particulier.

 

Lire la suite

Dans ce numéro...


Édito : Plagiat au Mangin Palace
Par Raynal Frederic
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Raynal Frederic
Attention, message personnel, hors-série de MISC, je répète, hors-série de MISC !!! Haha, oui, c'est encore nous ! C'est donc un hors- série de MISC, le premier, sans doute pas le dernier, mais il ne faudrait pas non plus vous habituer, sinon, ça ne serait plus un hors-série.
> Lire l'extrait
Cartographie réseau à distance
Par Biondi Philippe
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Biondi Philippe
Un bon test d'intrusion nécessite la récolte d'un maximum d'informations sur les ressources à attaquer, ainsi qu'une exploitation efficace de ces données. Ainsi, l'auditeur est en mesure d'appréhender au mieux la cible et de planifier la suite des opérations. C'est dans ce cadre que s'inscrit la cartographie réseau à distance.
> Lire l'extrait
Pentest de réseau Windows
Par Ruff Nicolas
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Ruff Nicolas
Le test de pénétration Windows (pentest pour les intimes), un sujet qui, pour moi, a commencé en 1995, par la première faille exploitable à distance dans Windows 95.
> Lire l'extrait
Un test d'intrusion grandeur nature
Par Dralet Samuel
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Dralet Samuel
Cet article a pour objectif de vous présenter rapidement le déroulement complet d'un test d'intrusion (ou pentest) au cours duquel une vulnérabilité de type Blind SQL Injection est découverte et exploitée.
> Lire l'extrait
Sécurité des secrets du poste nomade
Par Pilon Arnaud
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Pilon Arnaud
L'ensemble des risques liés au vol (même temporaire) ou à la perte d'un ordinateur portable est souvent méconnu. Nous allons voir les actions malveillantes qu’il est possible de faire afin d’identifier les différentes mesures à prendre pour se prémunir contre ce type d’attaque.
> Lire l'extrait
Lotus
Par Fourre Yann
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Fourre Yann
Dans cet article, nous abordons le sujet des pentests sur infrastructures Lotus. « Lotus », vous avez bien dit « Lotus » ??? Oui, oui, vous savez, cette interface très longue à charger, qui vous ouvre le monde merveilleux de produits complexes et mystérieux. Vous l’avez certainement même déjà rencontrée lors d’un audit, sur un réseau, avec son port TCP/1352 ouvert. Vous vous êtes dit « que faire maintenant ? ». Cet article va tenter de répondre à cette question.
> Lire l'extrait
SQL injection
Par Grenier Christophe
Pentest Sécurité du code
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Grenier Christophe
Que se cache-t-il derrière les termes de « SQL injection » ? Le langage SQL, Structured Query Language, est le langage standardisé d'interrogation des bases de données. Les techniques d'injection SQL consistent à introduire du code supplémentaire dans une requête SQL. Elles permettent à un utilisateur malveillant de récupérer des données de manière illégitime ou de prendre le contrôle du système. Alors que les problèmes de sécurité réseau ou système sont plutôt bien connus, que les règles de filtrage réseau sont plus strictes que par le passé, que l'application rapide des correctifs de sécurité pallie les vulnérabilités système, la sécurité des applicatifs est souvent négligée. Le contexte des injections SQL est très varié. Il concerne toutes les applications utilisant une base SQL. On retrouve aussi bien les applications Web que les clients lourds. Identifier et exploiter une faille peut être assez simple si l'application retourne des messages d'erreurs spécifiques, mais peut être complexe en l'absence de message. On parle alors d'exploitation en aveugle. Enfin, on retrouve des applications n'effectuant aucun contrôle ou très peu sur les données entrées tandis que d'autres les filtrent efficacement. C'est un aperçu de cette richesse que va tenter de vous donner cet article.
> Lire l'extrait
Outils de scan
Par Bidou Renaud
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Bidou Renaud
L'automatisation de tout ou partie des étapes d'un audit de sécurité peut répondre à différents besoins liés généralement à des critères financiers, temporels ou les deux. Les outils permettant de réaliser de tels tests sont nombreux et le choix n'est pas toujours évident. Tour d'horizon.
> Lire l'extrait
Testez ses mots de passe (avec John the Ripper)
Par Jeanne
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Jeanne
Le cassage de mots de passe est l'action d'obtenir le mot de passe qu'utilise une personne pour s'authentifier à partir d'une forme stockée protégée.Cette activité est l'apanage des professionnels de la sécurité informatique, principalement pour : obtenir l'accès des serveurs qui utiliseraient les mêmes mots de passe qu'une autre ressource déjà compromise (Ce n'est pas nécessaire en environnement Microsoft, comme illustré dans [1]) ; qualifier la robustesse des mots de passe lors d'un audit. Dans les deux cas, une méthodologie et des outils de cassage efficaces sont nécessaires. Cet article vous permettra, je l'espère, de choisir les outils (publics) les plus adaptés et de les utiliser efficacement.
> Lire l'extrait
Audits de sécurité avec Metasploit
Par Vuillard Victor
Pentest
Marque
MISC
HS n°
Numéro
1
|
Mois de parution
octobre 2007
| Vuillard Victor
Depuis ses débuts en 2003, le framework Metasploit [MSF] s'est peu à peu imposé comme un outil de référence pour l'auditeur de la sécurité des systèmes d'information. La version 3.0 de Metasploit, sortie fin mars 2007, a introduit des évolutions majeures. Tout d'abord, la réécriture de l'ensemble du projet en Ruby (à la place de Perl précédemment) a été une opportunité pour améliorer la réutilisabilité des différentes briques et pour simplifier la possibilité de créer des extensions qui reposent sur la plate-forme. De plus, des fonctionnalités ont été ajoutées à certains composants, à commencer par le Meterpreter, qui sera décrit dans la suite de cet article.
> Lire l'extrait

Les derniers articles Premiums

Les derniers articles Premium

Bun.js : l’alternative à Node.js pour un développement plus rapide

Bun.js : l’alternative à Node.js pour un développement plus rapide

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Code
Web
Résumé

Dans l’univers du développement backend, Node.js domine depuis plus de dix ans. Mais un nouveau concurrent fait de plus en plus parler de lui, il s’agit de Bun.js. Ce runtime se distingue par ses performances améliorées, sa grande simplicité et une expérience développeur repensée. Peut-il rivaliser avec Node.js et changer les standards du développement JavaScript ?

Ajouter à une liste de lecture
PostgreSQL au centre de votre SI avec PostgREST

PostgreSQL au centre de votre SI avec PostgREST

Magazine
Marque
Contenu Premium
Auteurs
Par
Auverlot Olivier
Spécialité(s)
Data / Big Data
Web
Résumé

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

Ajouter à une liste de lecture
La place de l’Intelligence Artificielle dans les entreprises

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Société
IA
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture
Petit guide d’outils open source pour le télétravail

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture
Voir les 50 articles premium
Body