Les partenaires d'iSEC nous ont concocté un bon outil, SSLyze!

Cette application stand-alone écrite en Python va scanner la configuration SSL afin de détecter une mauvaise configuration tout en fournissant à l'utilisateur la possibilité de personnaliser l'application via une interface simple. Cet outil est open source / multi-plateforme va permettre d'identifier les mauvaises configurations comme par exemple une version du protocole périmé sur les serveurs SSL.

Je ne vais pas tarder à rajouter cet outil dans ma grosse liste d'outils pour sécuriser son site web afin de vérifier sa propre configuration.

Et si vous avez du mal à le configurer, c'est que vous n'avez pas lu leur tuto

pauldotcom.com

Dans ce dossier je vais vous présenter un grand nombre d'outils pour sécuriser votre site ou votre application web. Les outils que je présente tournent sur différentes plateformes (parfois toutes) comme Windows, Linux, Mac ainsi que les navigateurs. Il en existe un paquet sur le net mais j'ai préféré vous présenter ceux qui sont récents et/ou maintenus et améliorés au fil du temps.

La majorité de ces pentools sont des scripts écrits en perl, python ou ruby. Alors ce que je vous conseille avant d'aller plus loin c'est soit d'installer une distrib Linux (genre BackTrack) sur une machine virtuelle. Mais si vous êtes trop feignant il y a quelques applications qui permettent d'exécuter ces scripts sur un environnement Windows. Vous pouvez par exemple commencer à installer Cygwin si vous voulez avoir un interpréteur de lignes de commande comme sur Linux. Sinon vous avez un tuto pour installer Ruby et Rails sur Windows ainsi que Python pour Windows et Perl pour Windows. Ça existe aussi sur Mac (un petit coup de Google ).

Comme tous les dossiers que je fais, il y aura bien sûr des mises à jour effectuées afin de vous mettre au courant des dernières nouveautés en matières de pentools présents sur le net.

Et si vous avez un peu de mal à comprendre certains termes cités dans ce dossier, je vous invite à aller faire un tour sur le dossier des Termes utilisés dans le monde du hack et de la sécurité.

Comme d'habitude, tout remarque (constructive) est la bienvenue ainsi que les remerciements et problèmes que vous pourriez rencontrer bien évidemment
Ah aussi, vous pouvez cliquer sur les petites vignettes de chaque outil présenté pour agrandir l'image.

Voici la liste des outils que je vous propose pour l'instant :

• sqlsus
• The Mole
• SET (Social Engineer Toolkit)
• PHP Vulnerability Hunter
• Acunetix Web Vulnerability Scanner
• Naxsi Web Application Firewall
• w3af (Web Application Attack & Audit Framework)
• WPScan (Wordpress Security Vulnerability Scanner)
• WAVSEP
• Uniscan
• Lilith
• Joomscan Security Scanner
• WAFP (Web Application Finger Printer Tool)
• iScanner
• GoLISMERO
• WebSurgery
• Arachni
• Websecurify

Lire la suite...

YaCy vient de dévoiler la version 1.0 de son moteur de recherche!

Après plus de 5 ans de développement, les développeurs de YaCy ont rendu public la version 1.0 de leur moteur de recherche open source et décentralisé. Sous licence GPL de type P2P ce moteur de recherche est conçu comme une alternative aux services de recherche existants tels que ceux fournis par Google qui sont gérés de manière centralisée par une seule société.

Comme pour le partage de fichiers via peer-to-peer, tous les résultats de recherche seront partagés entre utilisateurs. Un avantage important comme le disent les développeurs est que le contenu ne peut être censuré. Karsten Gerloff, président de la Free Software Foundation d'Europe décrit le projet comme "une composante viable" pour le futur et c'est pas faux.

Et c'est plus de 600 opérateurs qui contribuent à YaCy. Le moteur de recherche compte actuellement environ 1,4 milliards de documents dans son index et peut gérer jusqu'à 130.000 demandes de recherche par jour. Pour vous citer un exemple, l'institut de Karlsruhe propose de la recherche de contenu scientifique grâce à YaCy.

YaCy est compatible sur Windows, Linux et Mac OS. Une fois l'application installée, vous pourrez y accéder en vous rendant sur votre navigateur à l'url suivante : http://localhost:8090

Pour ma part j'ai déjà commencé à l'utiliser et c'est prometteur

Si vous avez perdu votre mot de passe Windows et que vous n'avez pas de CD d'installation pour le réinitialiser, ne vous inquiétez pas!

Tout d'abord il va falloir télécharger un petit soft qui va permettre d'effectuer cette opération décrite dans la suite de cet article.

Lire la suite...

Torsocks est une application pour Linux, BSD et Mac OSX qui vous permettra d'utiliser des applications réseau tels que SSH, IRSSI avec Tor.

Torsocks permet d'utiliser la plupart des applications "socks-firendly" de façon plus sécurisée avec Tor. En fiat il garantit que les requêtes DNS sont manipulées en toute sécurité et rejette explicitement le trafic UDP de l'application que vous utilisez.

Infos et téléchargement sur la page du projet Torsocks.

thehackernews.com