Auditer son serveur apache avec Nikto sous Kali Linux

kali linux

Nikto est un outil pré-installé dans Kali Linux, elle permet de faire un audit rapide de son serveur Web. Dans ce billet je vais travailler sur un serveur WEB local hébergé dans une machine virtuelle sous Vmware. Dans le billet je vais auditer une configuration Apache2 classique.

Continuer la lecture de Auditer son serveur apache avec Nikto sous Kali Linux

Diagnostiquer vos failles SQL avec SQLMAP

kali linux

Les failles dites SQL sont également « injections SQL » permettent à un attaquant d’avoir accès aux informations stockés dans votre base de donnés.
L’attaque se déroule comme pour une faille dite XSS en jouant sur les syntaxes envoyés. Si le webmaster n’a pas correctement rédigé et sécurisé sont code certain indice laisse penser à une faille SQL. Tout comme pour les failles XSS il existe beaucoup de possibilités d’exploitation aussi l’outil SQLMAP permet de scanner de manière complète une URL afin de découvrir des failles SQL potentielles.

Continuer la lecture de Diagnostiquer vos failles SQL avec SQLMAP

Diagnostiquer vos failles XSS avec XSSER

kali linux

Dans ce billet je vais présenter le paquet XSSER sous Kali Linux qui permet de diagnostiquer si certain de vos sites peuvent être victime de failles XSS. Les failles XSS sont décrite comme des vulnérabilités permettant à l’attaquant d’injecté du code et ainsi permettre des actions non désiré pour un visiteur. On peut ainsi citer le vol de cookies, la redirection vers une page de phising ou autres …

Les failles XSS sont généralement présente dans les variables passés en URL.

EX :

http://www.lesitevulnerable.ledomain/index.php?recherche=larecherchedunutilisateur

devient

http://www.lesitevulnerable.ledomain/index.php?recherche=<h1>affichage de texte</h1>

Pour cette exemple je me suis contenté d’inscrire brutalement des balises HTML afin de faire comprendre l’idée. On peut cependant faire passer sous plusieurs formes des arguments. XSSER permet de tester toutes (ou presque) les combinaisons possibles de failles XSS.

Ainsi on va lancer l’interface graphique de l’outil via, xsser — gtk.

0 lancement xsser

Continuer la lecture de Diagnostiquer vos failles XSS avec XSSER

La recherche d’adresses e-mail et de noms d’utilisateurs avec TheHarvester

theharvester menu laintimes

TheHarvester permet de rechercher des noms d’utilisateurs ou des adresses mails provenant de différentes sources publiques comme les moteurs de recherches. On peut également retourner les domaines qui pointe vers le votre dans le virtualhost.

Le test s’effectu sur une machine tournant avec Kali Linux 3.14.(3.14-kali1-amd64)
Dans ce billet je vais présenter la collecte d’adresses e-mail et de noms d’utilisateurs sur mon domaine laintimes.com avec le moteur de recherche Google ainsi que la liste des domaines présent sur l’host virtuel de votre domaine. Vous pouvez également ne pas spécifier de moteur en le remplaçant par « all ».

Continuer la lecture de La recherche d’adresses e-mail et de noms d’utilisateurs avec TheHarvester

La collecte de Meta donnés avec Metagoofil

metagoofil laintimes

Metagoofil est un outil permettant la collecte de meta donnés, on entend par la les informations potentiellement compromettantes contenue dans vos documents. Ce billet n’a pas pour objectif de promouvoir le piratage. Il est utile de pratiquer ce genre de tests sur vos domaines afin de vous assurer que les failles « rependues » soient détectées et fixées rapidement !

Dans ce billet je vais détailler la commande d’exemple permettant un diagnostic rapide, le test s’effectu sur une machine tournant avec Kali Linux 3.14.(3.14-kali1-amd64)

Continuer la lecture de La collecte de Meta donnés avec Metagoofil