[STANDARD] OWASP - Episode 6
Ce nouvel épisode est la suite de notre étude de la nouvelle version de la norme OWASP. Le but est de pratiquer les tests d'intrusion de manière méthodologique et aussi, de donner de nouvelles idées....
View ArticleClik here to view.
[STANDARD] OWASP - Episode 7
Septième épisode de notre épopée vers la connaissance de la méthodologie OWASP. Nous n'avons pourtant pas encore couvert tous les sujets, ni même les plus classiques. En effet, s'il y a bien une...
View Article[STANDARD] OWASP - Episode 8
Nous continuons sur notre lancée pour aborder le huitième épisode sur la méthodologie OWASP. Il s'agit ici de traiter des dénis de service. Rarement demandé lors d'un pentest, des effets pourtant...
View ArticleClik here to view.
[STANDARD] OWASP - Episode 9
A grand pas, nous arrivons à la fin de notre étude sur la méthodologie OWASP. Dans ce neuvième épisode, nous traitons des Web Services. Mine de rien, c'est fou tout ce qu'ils peuvent nous permettre de...
View Article[STANDARD] OWASP - Episode 10
Nous y sommes ! La dernière étape avec la fin de notre aventure sur la méthodologie OWASP. Après avoir vu un grand nombre de points à contrôler - de la collecte d'information à l'exploitation...
View ArticleClik here to view.
[PENTESTING] [Database] MS-SQL Audit
Après notre aventure théorique sur l'OWASP, je reviens sur le blog pour un post technique. Et pour ce "comeback", je vous propose dans un premier temps de nous attaquer à un élément du S.I très...
View ArticleClik here to view.
[Pentesting] [Messaging] Lotus hacking
Nous continuons sur les posts techniques en nous attaquant cette fois à un autre type de serveur : le serveur de messagerie. Et plus exactement, l'attaque portera sur un serveur LOTUS. Nous verrons que...
View Article[SSTIC 2009] Day 1
Premier jour de conf pour l'édition 2009. On retrouve les mêmes, les meilleurs et ... les meilleurs ;) De bonnes confs en perspective. Alors malgré un passage obligé à la crêperie et au pub, je ne...
View Article[SSTIC 2009] Day 2
ça continue pour cette deuxième journée. Déjà, certains ont du mal à se lever pour la première conf. de la journée. Bon, l'objectif est de faire un post moins long que pour le jour 1 !MatinéeUne...
View Article[SSTIC 2009] Day 3
Troisième et dernière journée. Il manque pas mal de gens à 9h15 ... et même à 13h. On peut en déduire que le social event s'est bien passé :) Une petite pensée aux collègues qui ont tourné pendant...
View ArticleClik here to view.
[INTERNAL PENTESTING] Windows Hacking
De retour pour un post qui ne devrait pas manquer d'intérêt. Notre mission du jour est de trouver tous les postes ayant un compte administrateur local connu. Dans notre quête de prise de contrôle de...
View Article[DISCOVERY PHASE] Rock it!
Tout bon test d'intrusion devrait commencer par une phase de découverte. Les tests se déroulent sur des durées très courtes (en général, quelques jours) et le seul moyen de s'imprégner de la cible,...
View Article[SSTIC 2010] Day 1
Une nouvelle éditions, de nouvelles conférences et des choses nouvelles ... ou pas !MatinéeSystèmes d'information : les enjeux et les défis pour le renseignement d'origine technique / Bernard BARBIER /...
View Article[SSTIC 2010] Day 2
Une deuxième journée plus intéressante selon moi ;)MatinéeSécurité de la plateforme d'exécution JAVA : Limites et propositions d'améliorationAprès une brève présentation du fonctionnement particulier...
View Article[SSTIC 2010] Day 3
Une troisième journée qui finit en beauté cette édition 2010 !MatinéeTrusted Computing : limitations actuelles et perspectivesEuh ... ça avait l'air intéressant ... ;)JBOSS AS : Exploitation et...
View Article[ARJEL] Sécurité et jeux en ligne
Depuis peu, les jeux de pari en ligne sont autorisés sur la toile en France, à l'exception des jeux de poker qui le seront très prochainement. Un enjeux évident de sécurité entre en considération....
View Article[HITB Conference] SAP Hacking - Overview 1/2
Après le SSTIC, on enchaîne avec le HITB à Amsterdam et cette fois, je vais essayer de tenir le rythme pendant les quatre jours pour mettre à jour mon blog quotidiennement. Inscrit à la formation SAP...
View Article[HITB Conference] SAP Hacking - Overview 2/2
Deuxième et dernier jour de training sur la sécurité de SAP. Beaucoup de choses mais ça reste tout à fait intéressant. On continue notre tour d'horizon !La sécurité de l'authentificationSur les...
View Article[HITB Conference] Day 1
Un petit retour sur cette première journée de conférence au HITB d'Amsterdam où l'ambiance est très bonne, l'hôtel cool (sauf pour y dormir apparemment ?) et les HITB girls sont ... sociables !...
View Article[HITB COnference] Day 2
La première journée était riche en vulnérabilités et exploitations. Après avoir visité un peu Amsterdam (non non, je ne faisais pas partie du groupe parti pour la zone rouge) avec notamment la visite...
View ArticleClik here to view.
[SCADA] SCADA Security ... or not
J'ai eu l'occasion dernièrement de travailler sur des environnements SCADA : ça change ! Mais en quoi ? Comment aborder ces bêtes là ? Quelles sont les failles les plus récurrentes ? Et déjà, est-ce...
View ArticleClik here to view.
[SECURITY STANDARD] Episode 1: are you compliant to ... ISO 27001?
Des normes internationales ont été rédigées concernant la sécurité des systèmes d'information. Elles sont de plus en plus utilisées et elles servent notamment de référentiel pour les entreprises. Leur...
View ArticleClik here to view.
[SECURITY STANDARD] Episode 2: are you compliant to ... ISO 27002
Après avoir vu la norme ISO 27001, je vous propose un aperçu de la norme ISO 27002. Elles sont toutes les deux liées, même si, cette dernière n'est pas obligatoire. Cependant, elle représente une aide...
View Article[SECURITY STANDARD] Episode 3: Are you compliant to ... ISO 27003
Dans la continuité de la revue des normes internationales sécurité, il est temps dorénavant de mettre en place le SMSI. Et pour cela, il existe depuis moins d'un an la norme ISO 27003, dédiée à...
View ArticleClik here to view.
[SMSI] Evalsmsi install
Je continue mes péripéties sur l'étude des SMSI mais je fais une pause sur les normes pour vous présenter un outil permettant l'évaluation des SMSI : evalsmsi. Cet outil avait été présenté par Michel...
View Article
