Pour plus d'information sur Cr@zy WS, je vous invite à vous rendre dans la partie à propos où j'explique les grandes lignes de ce site consacré en grande partie à l'actualité Hack, Sécurité, High-Tech et Webdev.
Newsletter et réseaux sociaux
Pour suivre les dernières news du site, essayez les différents types d'abonnements disponibles et rejoignez-moi sur les réseaux sociaux.
Cr@zy's Apps
En dehors des scripts que je développe, il y a le sous-domaine Cr@zy's Apps qui est consacré aux applications externes que j'ai pu développer.
Sécurité
Depuis longtemps je m'intéresse à la sécurité informatique où j'effectue des tests d'intrusion, d'audit et d'architecture. A travers mes articles, je vous partage l'essentiel de l'actualité.
Webdev
En ce qui concerne le webdev, je vous propose quelques scripts écrits en PHP, Javascript et autres, que j'essaierai d'alimenter quand j'ai un peu de temps. Je propose également mes services pour le développement de votre site.
Musique
Pour ceux qui apprécient la musique électronique qui tourne autour du Hardcore, Gabber, Industrial, Psychanelic et autres, vous pouvez écouter/télécharger gratuitement mes mixs.
Après mon article pour sécuriser son blog sous Wordpress, je reviens avec une seconde édition cette fois-ci consacrée aux attaques les plus courantes perpétrées sur votre blog sous Wordpress.
Dans le noyau de Wordpress, tout ce qui est questions en matière de sécurité sont prises très au sérieux par l'équipe de développeurs afin de maintenir l'intégrité de l'application. Cependant la même chose n'est pas valable pour les plugins et thèmes.
L'objectif de cet article est de vous fournir toutes les questions/réponses auxquelles les utilisateurs sous Wordpress ont besoin pour se protéger avec :
Le très populaire GitHub a été mis à mal et est tombé ce 18 octobre suite à une attaque DDoS que la société a reconnue dans un message sur son compte Twitter.
Leur système a commencé à éprouver des difficultés aux alentours de 22h05, ce qui a entraîné des problèmes de connectivité pour les utilisateurs qui tentaient d'accéder au site. L'interruption majeure a conduit les administrateurs du service à désactiver temporairement le service sur le port 80 un peu plus de 30 minutes plus tard. GitHub est donc restait en blackout mais les services HTTPS, GIT et SSH n'auraient pas soufferts. Selon la page d'état du système GitHub, l'équipe GitHub va trouver de nouvelles stratégies pour endurcir son système contre de futures attaques de ce type.
GitHub n'était pas la seule organisation à être la cible d'une attaque DDoS. Le même jour, quelques-uns des portails web appartenant à la banque britannique HSBC, y compris la division First Direct, ont subi ce genre d'attaques. Dans une déclaration, HSBC affirme que, même si l'interruption a empêché l'accès à ses services en ligne, l'attaque sur ses sites n'a eu aucune incidence sur les données des clients. Tous les sites touchés sont maintenant rétablis.
Le National Institute of Standards and Technology (NIST) aux États-Unis a annoncé le gagnant de son concours pour choisir un algorithme de hachage cryptographique qui porterait le nom de SHA-3. La compétition qui a durée cinq ans a attirée 64 projets au total et c'est Keccak (prononcé "catch-ack" selon le NIST et "ketchak" selon ses créateurs), créé par Guido Bertoni, Joan Daemen, Gilles Van Assche et Michaël Peeters, qui est ressorti vainqueur de cette épreuve.
Keccak a été choisi pour sa capacité à fonctionner sur une grande variété d'équipements informatique et que dans les tests effectués par le NIST et des reviewers indépendants, il a été l'algorithme le plus rapide.
Le NIST a également souligné le fait que, contrairement à tous les autres projets de la famille Secure Hash Algorithm (SHA) et des algorithmes MD4 et MD5 liés, Keccak n'utilise pas Merkle-Damgård pour la construction algorithmique. Au lieu de ça, Keccak utilise un concept appelé sponge function (fonction éponge) créé par eux-mêmes. Selon Tim Polk, expert en sécurité du NIST, cette construction algorithmique permet ainsi d'éviter d'affecter le SHA-3 si une attaque à l'encontre du SHA-2 aboutit. Les différences conceptuelles entre les deux approches fournissent une assurance supplémentaire contre les vulnérabilités futures.
SHA-2 est actuellement toujours considéré comme sûr et approprié pour une utilisation générale par le NIST, mais avoir un second algorithme comme Keccak permet plus de flexibilité aux security IT. D'autant plus que sa capacité d'être adaptable sur un grand nombre d'équipements rend le SHA-3 intéressant pour des applications embarquées et mobiles.
La nouvelle release de jQuery Mobile, le framework HTML5 pour smartphone, vient de sortir avec un nouveau widget popup. Celui-ci va vous permettre de mettre dans vos applications mobiles des menus, des info-bulles, des formulaires ou des visionneuses en fenêtre modale et donc plus de contenu. Les nouvelles popups de cette version 1.2.0 peuvent apparaître en cliquant sur un lien par exemple et disparaître lorsque vous cliquez en dehors de la popup. Le markup est simple, il suffit d'une div et du tag data-role avec pour valeur popup.
This is a completely basic popup, no options set.
Pour ouvrir cette popup il vous faudra juste un lien avec le tag data-rel :
jQuery Mobile 1.2.0 a aussi ajouté le support de jQuery 1.8 mais ça déconne un peu sur iOS 3 et Blackberry 5. Aussi, jQuery 1.6 a été abandonné et un certain nombre de nouveaux OS et navigateurs ont été ajoutés dans la liste de support au grade A comme iOS 6, Android 4.1 (Jelly Bean), Tizen, Firefox pour Android et le Kindle Fire HD.
La liste complète des changements pour cette version 1.2 est disponible sur le site officiel ainsi que son téléchargement.
Lors de la conférence DerbyCon 2.0, les experts en sécurité Laszlo Toth et Ferenc Spala ont présenté une série d'attaques, dont certaines étaient auparavant inconnues, sur des bases de données Oracle et des serveurs SQL et ils ont même publié les outils appropriés pour les exploiter.
Dans le "piratage du client Oracle", Laszlo Toth a démontré que, bien qu'Oracle enregistre le nom d'utilisateur et le mot de passe de façon chiffrée en mémoire, ces données restent en mémoire à la fin de la session et peut facilement être déchiffrée. Un trojan, par exemple, pourrait exploiter ceci pour récolter les mots de passe en clair du client et c'est ce qui a été remarquablement démontré par l'extension Meterpreter : ocioralog.
Think differently (rien à voir avec la pomme) pour pirater une base de données
Ils ont également démontré comment les connexions Oracle peuvent être détournées et exploitées. En raison de la vulnérabilité TNS listener poisoning qu'Oracle ne veut pas corriger, leur approche fonctionne avec n'importe quelles bases de données Oracle standard, à moins que des mesures spéciales de sécurité pour le listener TNS aient été mises en place. Le TNS proxy appelé pytnsproxy combiné à un module Metasploit approprié appelé tnspoison, permet à des pirates non-authentifiés de sniffer ou modifier les connexions à la base de données. Des commandes SQL peuvent même être envoyées en utilisant le proxy TNS.
Enfin, ils ont utilisé une extension Meterpreter appelée oralog. Cette extension est une sorte de sniffer de mot de passe qui écrit les mots de passe de bases de données de tous les utilisateurs qui se connectent au serveur dans un fichier non chiffré.
