Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web

Posté par  . Édité par Benoît Sibaud, palm123, Davy Defaud et bubar🦥. Modéré par bubar🦥. Licence CC By‑SA.
48
14
jan.
2018
Sécurité

Wapiti est un scanneur de vulnérabilités Web publié sous licence GNU GPL v2.

Il permet de détecter la présence de failles courantes (injection SQL, XSS, inclusion de fichier, exécution de code ou de commande, etc.) sur les sites Internet et les applications Web via différents modules d’attaque. L’exploitation des failles remontées n’est pas gérée par le logiciel, l’utilisateur doit donc procéder à l’exploitation lui‐même ou s’en remettre à un logiciel spécifique (comme sqlmap pour les failles SQL).

Wapiti génère des rapports de vulnérabilités dans différents formats (HTML, texte, JSON, XML). C’est un outil en ligne de commande qui a peu de dépendances et s’installe facilement.

Journal Fuzzing : éprouver les entrées de vos développements

Posté par  . Licence CC By‑SA.
40
27
oct.
2015

Wikipedia donne pour le fuzzing, la définition suivante (https://fr.wikipedia.org/wiki/Fuzzing) :

Le fuzzing (ou test à données aléatoires) est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Exemples de points d'entrée d'un programme :
- Fichiers
- Périphériques (clavier, souris, etc.)
- Variables d'environnement
- Réseau
- Limitation des (…)

Journal Série télé : Mr Robot

Posté par  . Licence CC By‑SA.
Étiquettes :
25
3
août
2015

C'est l'histoire d'un toxico mais pas trop, white hat le jour, justicier hacker la nuit (Néo c'est toi ?). Il utilise ses «pouvoirs» de hacker pour démasquer les méchants et les livrer à la justice (parfois), il a un ami imaginaire qui lui dit quoi [ne pas] faire(Dexter c'est toi ?)
La journée donc, il est ingénieur sécurité dans une SSII qui a pour client une énorme multinationale "Evil Corp" (Google c'est toi ?). Bien sûr il n'aime pas ce fait car ce (…)

Quoi de neuf côté LinuxFr.org

85
4
juin
2015
LinuxFr.org

La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».

Podcast francophone dédié à la cybersécurité : No Limit Secu

Posté par  . Édité par Nils Ratusznik, Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC By‑SA.
19
21
avr.
2015
Sécurité

Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?

No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

logo de No Limit Secu

L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.

Journal Auto-hébergement: pas toujours évident...

Posté par  . Licence CC By‑SA.
17
5
fév.
2015

L'auto-hébergement a toujours été défini comme une alternative saine aux offres de stockage en ligne proposées par exemple par Amazon, Google ou Microsoft. Héberger chez soi ses propres données est un gage de sécurisation et de préservation de la confidentialité de ses données personnelles.

Il y a eu une période au cours de laquelle on trouvait toute une panoplie d'applications Libres pour réussir son auto-hébergement. On avait du choix, les applications étaient techniquement abouties et complètes. Puis il y a (…)

LinuxFr.org : rétrospective des dépêches et journaux 2014

Posté par  (site web personnel) . Édité par M5oul, Nÿco et Bruno Michel. Modéré par patrick_g. Licence CC By‑SA.
40
29
déc.
2014
LinuxFr.org

Basé sur les dépêches et journaux les mieux notés par nos visiteurs, voici un petit retour sur l'année 2014 sur LinuxFr.org.

Mentions particulières

La dépêche collaborative sur le noyau Linux a remporté un grand succès tout au long de l'année, avec les diverses versions parues : 3.13, 3.14, 3.15, 3.16, 3.17 et 3.18.

La saga Je créé mon jeu vidéo de rewind a placé ses 6 épisodes de l'année dans la sélection (fiche de lecture de « L'Art du game design » par Jesse Schell, techniques de C++11 appliquées au système à entités, génération procédurale de carte (partie 1), génération procédurale de carte (partie 2), interfaces physiques et graphiques et un an, premier bilan ), et a fêté son premier anniversaire.

On notera aussi d'autres sujets régulièrement traités, comme Firefox (28, 29, 30, 31, 32, 33, 34, Firefox en GTK3, et côté Firefox OS un avis et un test de création de jeu), rust (0.9, 0.10, 0.11, 0.12) ou systemd (là y en a vraiment trop pour les citer tous).

31c3 : le Chaos Communication Congress de retour avec « A New Dawn »

Posté par  . Édité par ZeroHeure, Davy Defaud, M5oul, BAud, Benoît Sibaud, palm123 et Nils Ratusznik. Modéré par Benoît Sibaud. Licence CC By‑SA.
35
12
déc.
2014
Communauté

Le Chaos Communication Congress, célèbre rassemblement de hackers buvant du Club Mate, organisé par le Chaos Computer Club revient cette année pour sa 31e mouture (aussi nommée 31c3).

Au cours des seules deux dernières années, l’événement a vu Jacob Appelbaum offrir une keynote abordant la surveillance avant les révélations de Snowden, puis révéler l’année suivante le catalogue Tailored Access Operations de la NSA ; William Binney, Thomas Drake et Jesselyn Radack parler de leurs activités de lanceurs d’alertes ; Glenn Greenwald intervenir au sujet des révélations de Snowden ; et de nombreux autres activistes et hackers du monde entier venir parler de leurs recherches et activités.

La 31e édition se déroulera comme à l’accoutumée au Congress Center Hamburg dans la ville de Hambourg, au nord de l’Allemagne, du 27 au 30 décembre 2014.

Journal Sécurité de l'open source Vs closed source: MS14-066

Posté par  (site web personnel) . Licence CC By‑SA.
34
17
nov.
2014

Bonjour,

Une fois n'est pas coutume, je vais commencer par parler de microsoft sur ce site francophone linuxien.

Vous le savez, microsoft prend la sécurité de ses produits très au sérieux depuis une dizaine d'année (windows XP SP2 environ). Ils ont mis en place un système de patch à date fixe, le second mardi du mois, surnommé rapidement "patch tuesday". Les équipes opérationnelles peuvent prévoir des astreintes supplémentaires ce mardi pour tester/qualifier et pousser les patchs.

Ce mardi a été (…)

Tails 1.2, une distribution pour votre anonymat

Posté par  (site web personnel) . Édité par pamputt, BAud, palm123, Benoît Sibaud, patrick_g et M5oul. Modéré par Benoît Sibaud. Licence CC By‑SA.
31
5
nov.
2014
Debian

La distribution Tails (The Amnesic Incognito Live System) est un media de type live-CD et live-USB, basé sur Debian GNU/Linux, visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.

La sortie de la version 1.2 a été annoncée le 16 octobre dernier par l'équipe de développement.

Plus de détails dans la suite de la dépêche sur cette version 1.2, ainsi que sur les
versions mineures 1.1.1 et 1.1.2 sorties depuis la dépêche précédente.

logo de Tails

Revue de presse de l'April pour la semaine 40 de l'année 2014

15
6
oct.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

pkgsrc 2014Q3 est disponible

Posté par  (site web personnel, Mastodon) . Édité par Benoît Sibaud, BAud, ZeroHeure et Snark. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
23
6
oct.
2014
NetBSD

Dans un message à des listes de diffusion pkgsrc et NetBSD, Alistair Crooks a annoncé la disponibilité de la branche pkgsrc-2014Q3. Pkgsrc (prononcer package source) est une infrastructure de construction de logiciels tiers pour NetBSD, ainsi que pour d’autres systèmes de type UNIX. Il permet donc à NetBSD et à d’autres systèmes d’exploitation de disposer de nombreux logiciels sous forme source, mais aussi sous forme binaire.

Les développeurs pkgsrc fournissent une nouvelle version stable chaque trimestre. Comme son nom l’indique, pkgsrc 2014Q3 est donc la troisième sur les quatre de 2014 et est disponible depuis le 2 octobre dernier.

Plus de détails sur cette version en particulier en seconde partie de dépêche, qui reprend grandement le courriel d'annonce.

Revue de presse de l'April pour la semaine 39 de l'année 2014

Posté par  (site web personnel, Mastodon) . Modéré par Pierre Jarillon. Licence CC By‑SA.
15
29
sept.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Suivi — Flux Atom Gestion de l'utilisateur Collectif dans les flux Atom

#1439 Posté par  (site web personnel) . État de l’entrée : corrigée. Assigné à Bruno Michel. Licence CC By‑SA.
Étiquettes :
0
29
sept.
2014

La dépêche http://linuxfr.org/news/une-faille-nommee-shellshock telle que publiée sur le site :

« Posté par Collectif le 28/09/14 à 23:22. Édité par 10 contributeurs. »

Et si on clique sur le lien « 10 contributeurs », ça se déroule ainsi :

« Posté par Collectif le 28/09/14 à 23:22. Édité par tankey, Benoît Sibaud, eggman, Altor, david.g, Bruno Michel, Salk, Maxime, palm123 et BAud. »

Côté Atom, on perd la notion du « Collectif » et on affiche deux fois tankey comme auteur :

    <author>      <name>tankey</name>    </author>
    <author>
(…)

Une faille nommée « shellshock »

82
28
sept.
2014
Sécurité

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.