HackBar est une extension Firefox destinée aux développeurs web, administrateurs ou plus largement aux personnes ayant un pied dans la sécurité système (white hat & co).

Cette extension permet notamment de :

1. Spoofer son referrer (fake referrer)
2. Encoder / décoder une url (url_encode, url_decode)
3. Ajouter ou échapper des caractères (addslashes, stripslashes)
4. Supprimer les espaces
5. Envoyer des données de formulaire (GET/POST)
6. Séparer toutes les variables d'une URL, ligne par ligne et d'accéder à l'URL sans devoir reformer l'URL
7. Convertir une chaine en MD5, SHA1, ROT13, Base64, hexa, etc.
8. Réaliser des opérations, instructions ou commandes SQL : conversion de charset, injection, etc.
9. Et bien d'autres choses à portée de clic !

Une extension pratique et light, à conserver sous le coude pour déboguer vos scripts, encoder, chiffrer... en deux clics. » Lire la suite

Après avoir fait parlé de lui début 2009 vis à vis des certificats SSL, la fonction de hashage Message Digest 5 - plus connue sous l'acronyme MD5 - reste aujourd'hui largement utilisée (chez Microsoft notamment). Cette méthode permet d'obtenir l'empreinte MD5 d'une suite de caractères ou plus généralement de fichiers (on parle alors de somme de contrôle ou checksum).

Il est impossible de retrouver la chaine originale à partie du hash mais il est possible de hasher une chaine et de comparer l'empreinte MD5 avec celle d'un mot de passe inconnu. S'ils sont identiques, c'est que nous avons "décodé" la chaine MD5. C'est le principe des Rainbow Table (tables d'arc-en-ciels pour les puristes) : retrouver un mot de passe à partir de son empreinte.

Construire l'empreinte de toutes les combinaisons de lettres, chiffres et caractères spéciaux est impossible car infini. En revan » Lire la suite

L'information n'est pas passée inaperçue cette semaine, c'est le moins que l'on puisse en dire. Google a annoncé avoir reçu des attaques depuis la chine et l'on apprenait il y a quelques jours qu'il s'agissait d'une faille 0-Day concernant Microsoft Internet Explorer. Cette attaque a été baptisée Aurora.

Je vous propose au travers de ce billet un résumé de la situation qui s'éparpille dans un tous les sens sur les sites d'informations. » Lire la suite

ISR-Evilgrade est un framework perl modulaire permettant de prendre le contrôle d'une machine en simulant de fausses notifications de mise à jours des logiciels présents sur cette machine. Il permet de prendre le contrôle d'une machine non vulnérable,  c'est là toute sa dangerosité.

Comme tous les attaques MITM, l'efficacité de Evilgrade est tout à fait remarquable. » Lire la suite

Tous les abonnés à l'offre Giganews Diamant viennent de recevoir une invitation pour tester un nouveau service de VPN. VyprVPN (se prononce "VyperVPN") vient tout juste d'être lancé en phase de test par Giganews (la rolls des newsgroups).

Le principe

Giganews VyprVPN propose de façon privée et entièrement cryptée : surf, emails, messagerie instantanée, lecture de news groups. Le tout totalement protégé de votre FAI (et d'HADOPI au passage), d'un réseau sans fil ou des oreilles indiscrètes de votre voisinage. » Lire la suite

Aujourd'hui, voyons comment protéger la page d'identification permettant d'accéder au tableau de bord de WordPress.

Je vous invite à lire les deux premières parties de cette série de tutoriel si vous les avez raté : partie 1 (l'utilisateur par défaut "admin"), partie 2 (l'accès au fichier wp-config.php).

Pourquoi protéger

Cette page permet à tous les utilisateurs WordPress de se connecter au tableau de bord. » Lire la suite

Que vous soyez un particulier ou une entreprise, vous disposez certainement certainement d'équipements tels que des routeurs, switch (concentrateur), modem, "machin box", etc.

Ces équipements sont protégés par un mot de passe dit "constructeur" définit usine et constituant un premier pallier de sécurité. La première chose à faire lors de l'installation de ce type d'équipement est de changer ce mot de passe par un mot de passe complexe. Complexe ne veut pas forcément dire compliqué à retenir.

Dans le domaine de la sécurité informatique, l'écart entre la théorie et la pratique donne parfois le vertige, rendant à l'échelle mondiale des centaines de milliers de périphériques accessible à tous, de votre Livebox au distributeur de billet du coin de la rue.

» Lire la suite

Après mon précédent billet concernant le cas de l'utilisateur par défaut "admin", j'aborde aujourd'hui le fichier wp-config.php dans ma série "Comment sécuriser un blog WordPress".

» Lire la suite

Il fallait vivre dans un igloo cette semaine pour ne pas entendre parler des différentes brèches de sécurités récemment dévoilées dans WordPress.

Voici un premier billet d'une longue série dans laquelle j'aborderai différentes techniques et méthodes de sécurité qui vous permettront de limiter les dégâts pour de prochaines éventuelles failles. » Lire la suite

[Mise à jour] Comme l'explique MagicalTux, employer le mot "dns spamming" n'est pas exact. Il s'agit plus exactement d'une manipulation au niveau des Glue Records : c'est à dire du serveur de nom dont votre registrar peut vous autoriser la modification.

Il semblerait que certains serveurs soient victime d'un DNS Spamming influant sur le WHOIS de très nombreux sites tels que Amazon, Youtube, eBay, CNN, Apple, Microsoft, Yahoo ou encore Facebook.

Voici ce que retourne le WHOIS de Apple.com :

APPLE.COM.WWW.BEYONDWHOIS.COM
APPLE.COM.MORE.INFO.AT.WWW.BEYONDWHOIS.COM
APPLE.COM.IS.OWN3D.BY.NAKEDJER.COM
APPLE.COM.IS.0WN3D.BY.GULLI.COM
APPLE.COM.BEYONDWHOIS.COM
APPLE.COM.AT.WWW.BEYONDWHOIS.COM
APPLE.COM

» Lire la suite