• Parce que y'en a marre des erreurs de merge d'espace !

    Voici une astuce pour vos dépôts GIT permettant de formater le code avant le commit sur le dépôt pour que tous les développeurs utilisent le même référentiel de formatage de code :A placer dans le .git/hooks/pre-commit function format_java { file="${1}"; echo "${file}" | grep -ie "^.*\.java$" > /dev/nullif [ "$?" -eq 0 ] ; then if [ -f "${file}" ] ; then set -e astyle --mode=java --st...
    More
  • My-Endpoints.png

    OAuth : Protection des WebServices.

    "OAuth permet aux utilisateurs de donner, à une application ou un site « consommateur », l'accès à des informations personnelles sur un site "fournisseur" de service. OAuth permet de gérer ces autorisations sans avoir besoin de donner son identité." [Wikipédia]Pour résumer, c'est un procédé d'authentification auprès de webservices, un peu plus complexe qu'une API key ou autre. Cela ressemble (je vais peut être me...
    More

  • Caractères carrés avec les applications 32bits

    Vous avez certainement déja vu ça, dans la configuration suivante :Système Linux 64 bits (Gentoo 2008.0 dans mon cas) Applications 32 Bits (Firefox static, Acrobat Reader, etc ...)Un problème d'affichage des caractères pouvant être mis en évidence par une sortie en ligne de commande suivante : (firefox-bin:19337): Pango-CRITICAL **: No modules found: No builtin or dynamically loaded modules were found....
    More

Article tagué metasploit

FastTrack / Metasploit

30/08/08

Posté par Zenithar dans Sécurité

Voici un outil plus qu’utile pour nos amis auditeurs, & pentesters. C’est un script d’automatisation d’audit de vulnérabilités et exploitation via metasploit.

Pour ceux qui connaissent c’est une surcouche à autopwn, permettant de mettre à jour la base milw0rm d’exploits, mise à jour des versions des outils utilisés (nikto, w3af, metaspoit, …), le tout présenté sous forme d’une interface Web, simple à utiliser ! (encore).

Biensûr il faut être conscient des risques que l’on prends à l’utilisation de ces logiciels envers une tierce personne non informée.

Personnelement je ne suis pas pour ce genre d’outils qui facilitent les attaques, il est vrai que cela aide beaucoup les professionnels cependant ce genre d’outil est très dangereux aux mains d’un non initié (script kiddy), qui ne peuvent s’empécher de lancer des attaques sur des gros Majors histoire de s’amuser !

Screencast

Fasttrack (tar.gz) : Télécharger

, , , ,

Dan Kaminsky exploit + Metasploit + Evilgrade = Duuuuuuuuude

5/08/08

Posté par Zenithar dans Sécurité

Je ne sais pas si vous êtes au courant mais une vulnérabilité a été découverte par Dan Kaminsky sur les implémentations des serveurs DNS, permettant à un petit malin de faire du DNS-Poisoning (corrompre des entrées d’un serveur DNS, pour faire pointer par ex : www.zenithar.org sur une autre ip …), vous allez me dire normal si je suis admin de mon serveur DNS, cependant pas si normal puisque la vulnérabilité est rendu très facilement exploitable en utilisant l’excellent Metasploit (c’est comme les sushis j’adore ! Écrit en ruby on rails depuis la version 3 ;-) )

Voici un scénario d’utilisation montrant à quel point il faut vite patcher son serveur DNS :
http://www.infobyte.com.ar/demo/evilgrade.htm

, , ,