[mOuChOu]

Bonjour à tous,
C'est mon second post' ( le premier était le même mais je pense qu'il était mal placé ) et je voulais savoir ce qu'il faut apprendre pour réussir une épreuve comme " Une histoire de porte " ( C'est mon rêve  ), j'ai réussi quelques épreuves mais sans vraiment avoir touché au " vrai " hacking.
Si vous le souhaitez vous pouvez m'envoyer un Message Privé.
J'espère ne pas avoir posté à un mauvais endroit.

Merci

mOuChOu

[ABC528]

il faut maîtriser les failles connues (comme les injections sql, xss,...)
et si ton premier post est mal placé : supprime-le (sauf si tu l'a déjà fait ou qu'un modérateur l'a déplacé)

[akway]

Salut mOuChOu !

Pour commencer "Une histoire de portes" est peut être un peu difficile, enfin c'est mon avis de newbie 
Mais en vrac tu pourrais :

-Chercher si un membre a déja posé la même question sur me forum.(par exemple).
-Installer apache/mysql pour comprendre le fonctionnement d'un server web (googliser "telecharger easyphp").
-Commencer à coder quelques petits scripts php incluant des requêtes SQL pour te faire la main (googliser  "tutorial apprendre php") .
-Te renseigner sur les failles php/sql les plus connues et les mettre en application sur ton server (googliser  "faille php") .

Puis prend un papier et un crayon et fais un bilan de ce que tu as appris et ce que tu ne sais pas/n' est pas clair. 


Un Googlemaniac.

[mOuChOu]

Merci ! J'ai déjà regardé pas mal de tutoriels ( Failles Include, Upload ( D'ailleurs, ATTENTION la fin de phrase risque de choquer les âmes sensibles, je préviens : Failles XSS et Include, c'est la même chose ?  Si non, cela se ressemble, je trouve. ) J'ai regardé aussi les injections SQL, et j'ai réussi une épreuve sur ça  , mais sans programmer en PHP, j'ai un peu de mal .

Je vais appliquer vos conseils.

Merci beaucoup.

mOuChOu

[the lsd]

telecharger easyphp

Wamp, Lamp, Mamp (selon le système d'exploitation). Pas EasyPhp ! IziPhp beurk

Bon sinon j'ai supprimé ton premier post mOuChOu, comme ce topic est plus utile que le post sur une histoire de portes

Enjoy

The lsd

[mogg41]

Failles XSS et Include, c'est la même chose ? 

Non. Si tu te poses cette question c'est que tu n'as pas tout compris. Il ne faut pas se laisser berner par l'aspect visuel des choses.

Renseigne toi sur le code PHP qui permet la faille include et sur celui qui permet la faille XSS et tu comprendras peut être mieux la différence.

[mOuChOu]

Merci The lsd, mais je pensais avoir effacé mon message  Enfin .. Merci beaucoup. ( Sinon moi j'ai déjà Wamp donc je pense que pour ceci c'est
bon  )
Merci mogg41, pour tes conseils, je vais me renseigner sur ces deux failles.

[NiklosKoda]

Salut mOuchOu,

je vais me renseigner sur ces deux failles.

Si je peux me permettre, je pense que le problème ne vient pas du manque d'informations sur les failles en question, mais plutôt du manque des "bases à avoir" pour les comprendre.

Je m'explique, tu commet ici une erreur flagrante en confondant XSS et Include, alors qu'elles sont nettement différentes : rapidement, une faille XSS se situe coté client alors qu'une faille include se situe coté serveur. Et tu auras beau lire et relire toutes les docs sur ces deux failles, cela ne servira à rien si tu n'as pas compris ce point. Il est donc clair qu'il faut se documenter ici sur "comment fonctionne le php", "qu'est ce qu'une relation client-serveur", ... avant de passer aux différentes failles !

Je pense que d'une manière générale il faut se contruire un "mur des connaissances" : tu commence par apprendre les informations générales, qui seront les fondations de ton mur, pour ensuite empiler différents sujets plus précis, plus complexes, qui viendront s'appuyer sur ces premières compétences. Inutile donc d'attaquer la construction par le haut

Pour revenir à la question de départ, plus concrète : pour faire les épreuves de hacking il faut d'abord regarder ce qu'elles mettent en jeu et comment elles sont faites. Par exemple beaucoup utilisent une interface Web et PHP (pas toutes), un bon moyen de commencer est alors de voir comment tout cela fonctionne, pourquoi pas apprendre à manipuler PHP... Et une fois que tu en sauras assez, tu pourras alors seulement te documenter sur les détournements, les problèmes de sécurité que l'on rencontre avec ce type d'application.

Et une fois que tu auras fini tout ça, il ne te resteras plus qu'à faire de même pour la catégorie de challenge suivante ^^
Bon challenge
++
Niklos

[mOuChOu]

Merci beaucoup NiklosKoda, pour cette aide, précise. Donc je vais commencer par apprendre le PHP sur le Site du Zéro, et ensuite je ferai ce que tu m'as conseillé.

P.S : Je trouve formidable d'avoir des réponses aussi claires en si peu de temps. NiklosKoda je te remercie du temps que tu as du passer à me répondre ainsi que tout les autres 

mOuChOu

[_o_]

Renseigne toi sur le code PHP qui permet la faille include et sur celui qui permet la faille XSS

Au risque de passer pour un affreux pinailleur (mais je pense que ma réputation est déjà faite de ce côté là), je voudrais préciser deux petites choses :
- la faille include est à ma connaissance réservée à PHP. La fonctionnalité existe dans d'autres langages (Coldfusion (beurk !) par exemple, pour ce que je connais), mais dans le langage commun, la faille est liée à PHP.
- une XSS n'a rien à voir avec PHP. C'est une faille beaucoup plus large, qui peut se trouver quelque soit la techno utilisée. C'est un problème de développement en général.

[mogg41]

Au risque de passer pour un affreux pinailleur

Un peu de rigueur ne peut pas faire de mal.

- la faille include est à ma connaissance réservée à PHP. La fonctionnalité existe dans d'autres langages (Coldfusion (beurk !) par exemple, pour ce que je connais), mais dans le langage commun, la faille est liée à PHP.

Je ne savais pas qu'elle existait avec dans d'autres langages.

- une XSS n'a rien à voir avec PHP. C'est une faille beaucoup plus large, qui peut se trouver quelque soit la techno utilisée. C'est un problème de développement en général.

Grosse erreur de ma part. /me se flagelle.


A part ça je plussoie fortement akway sur le fait de créer ton serveur et de tester les failles dessus, car avec les challenges ça reste du simulé, même si les épreuves les plus difficiles semblent (d'après ce que j'ai pu lire sur le forum) beaucoup plus réalistes.
Il existe plein de tutos sur internet. Par exemple:
- http://www.vulgarisation-informatique.com/ide-php-wamp.php
- http://www.siteduzero.com/tutoriel-3-14668-un-site-dynamique-avec-php.html

[mOuChOu]

Merci beaucoup, mais j'avais déjà commencé à apprendre le PHP sur le Site du zéro, j'en suis aux formulaires 

mOuChOu