Forum Linux.général Site de sécurité pour s'entraine

Posté par .
3
7
nov.
2011

Bonjour,

chuis un ouf' gueudin moua. Je veux apprendre à pirater plus fort que jack bauer, je veux faire péter du buffer overflow!

J'ai lu trop pleins de docs, trop pleins de pdf for "phun and prophit"

Mais je sais pas ou m'entrainer. Comme je veux pas casser la NASA et le FBI, j'aimerai juste savoir si vous connaissez des sites en ligne ou on peut s'entrainer? des trucs de sécu ou il faut s'entrainer, wala, je trouve soit des vieux sites tous pourris avec des têtes de morts, soit des sites tout pourri sans tête de mort, soit des trucs totalement incompréhensible

Allez, faites péter les z'url \o/

  • # machine virtuelle

    Posté par . Évalué à 3.

    1°) ca t'apprend à installer un server, configurer les services, avec ou sans securité
    2°) tu peux t'y attaquer quand tu veux
    3°) tu peux tracer tes interventions dans les logs, voir si tu laisses ou pas des traces de ton passage

    4°) sinon dans les trucs plus "faciles", apprendre à developper, comprendre ce qu'est un stack overflow, en creer un sur ton programme à toi
    puis essayer d'en faire un sur un programme existant.

    • [^] # Re: machine virtuelle

      Posté par . Évalué à 1.

      Alors 1: installer le serveur, check. Je conseille metasploitable comme distro.

      Le 2: pareil, je la boute quand je veux

      Le 3 : les logs, ça dépend, de toute façon, personne les lit, alors

      Le 4 : c'est fait aussi. Mais justement, c'est "un peu trop facile" de laisser son buffer overflow puis de l'exploiter. Pour ça que je demande des sites ou on peut en faire en ligne

      • [^] # Re: machine virtuelle

        Posté par . Évalué à 3.

        1°) essaie avec d'autres distro, pour tester leur modele de securité (redhat, suse...)
        le serveur ne doit pas te servir pour aller hacker les autres, mais comme base que tu va devoir attaquer

        2 et 3 : un bon admin lit les logs, ou met en place des protections qui se basent sur les logs (fail2ban par exemple)

        4°) si utiliser TON bufferoverflow est trop facile, essaie d'en faire faire à des programmes plus courants (sans modifier leur code source), serveur web, base de données...

        bref, avant d'aller tester chez les autres, instruis toi chez toi.

  • # Il a(vait) intruded.net

    Posté par (page perso) . Évalué à 3.

    À la lecture du blog "exploitability" on trouve une série d'articles sur des challenges de sécurité à résoudre, ce qui peut être un bon complément d'apprentissage en plus du fait d'apprendre à protéger ses propres machines (virtuelles ou non).

    http://exploitability.blogspot.com/2011/10/challenge-sur-intruded-leviathan.html

    Le hic, c'est que le site intruded.net mentionné n'est plus disponible. La lecture du blog reste intéressante, il faudra trouver d'autres sites d'entraînement par ailleurs.

  • # 127.42.12.51

    Posté par (page perso) . Évalué à 6.

    127.42.12.51 ? On ne sait jamais, sur un malentendu ça pourrait passer…

    • [^] # Re: 127.42.12.51

      Posté par . Évalué à 3.

      en fait moi j'aurais proposé
      127.111.6.66, généralement on peut y trouver quelques trous sympas ;)

      sinon il y a 127.31.33.7

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: 127.42.12.51

        Posté par . Évalué à 2.

        Vous êtes trop deprecated, je vous attends sur ::1

  • # Le challenge du SSTIC

    Posté par (page perso) . Évalué à 5.

    Et une fois bien entrainé, on peut se lancer dans des trucs un tout petit peu plus ardu.
    Je propose le challenge du SSTIC :

    Un fois bloqué^Wterminé, on peut aller lire les solutions proposées par certains participants.
    Vraiment intéressant.

  • # Get a life

    Posté par . Évalué à 1.

    Il y a énormément de projets libres utiles et intéressants qui ont besoin d'aide. Pourquoi ne pas y contribuer au lieu de faire le r3b3llz?

    • [^] # Re: Get a life

      Posté par . Évalué à 4.

      Peut être pour sécuriser ses serveurs ou alors tenir un blog à propos de sécurité où il dit « configurez ça comme ça, ça sera plus sécurisé » (avec des explications).

      Ou encore proposer des patchs ou des rapports de bugs aux logiciels touchés.

      Sinon si il est très fort il peut créer une version de attaquer-serveur-pirate-h4k3r-w4r3z.exe qui le rendra très riche.
      hop ->[]

      207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

  • # Forensics Contest ?

    Posté par . Évalué à 2.

  • # faut suivre les bonnes ml

    Posté par (page perso) . Évalué à 6.

    Il y a eu un thread sur le sujet récemment sur une certaine liste dont les archives ne sont pas publiques.

    http://www.overthewire.org/wargames/
    OWASP webgoat
    Foundstone hackmebank
    OWASP hackademic challenges
    http://smashthestack.org/
    - Moth
    - Metasploitable
    - Kioptrix (3 different VMs/levels)
    - DVWA
    - DVL
    http://www.webantix.net/war-games-current-and-past-hacking-simulators-and-challanges/
    http://www.goriya.com/flash/tictactoe.shtml

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Site francophone

    Posté par . Évalué à 1.

    Il y a la communauté française zenk-security qui propose quelques challenges et un forum d'échange/partage de connaissances. Vu que les challenges filtrent pas mal (il faut un certain nombre de points + présentation pour accéder au forum), il n'y a pas trop de script kiddies…

  • # Étude sur un cas concrêt

    Posté par . Évalué à 4.

  • # NewbiContest

    Posté par (page perso) . Évalué à 1.

    Je pense que ce site correspond à peu près à ce que tu veux : des épreuves, des forums pour discuter de celles-ci et des points à chaque épreuve résolue pour faire un concours de bites fournir un environnement ludique et motivant !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.