Là je suis en train de rédigé le chapitre sur l'attaque CSRF après je compte parler de l'include, du DDOS et de l'ingénierie social.

Pour le reste tant pis je ne peux pas parler de tout.

Ok mais vu que ce n'est pas vraiment technique je compte pas vraiment en parler, où du moins je regrouperai tout ça dans un seul chapitre.

Enfin bon, je crois que je vais peut-être parler des includes aussi...

Donc: XSS/injectionSQL/CSRF/DDOS/include et tout ce qui ressemble au social engineering (attaques sans forcément avoir des connaissances technique, ça m'intéresse pas vraiment mais j'en parlerai brièvement).

Bonjour,

Je suis actuellement en train de rédigé un sujet spécial sur les attaques Web.

Mon travail portera principalement sur les failles XSS et les Injections SQL, néanmoins je souhaite faire le tour de la plupart des attaques (les plus connu).

J'ai donc commencé par le XSS, les injections SQL et le CSRF.

Je compte parlé des attaques par deni de service et les "payloads".

Je ne pourrais pas parler de toutes les attaques différente sur le web mais je veux aborder les plus courantes.

Je suis aller sur ce site: http://www.bases-hacking.org/failles-web.html

Il parle de plusieurs attaques dont je n'avais jamais entendu parler, mais pas le CSRF.

En fait, je ne peux pas parler de toutes ces attaques, c'est pourquoi j'essaie d'établir une liste et j'espère que vous pourriez m'indiquer sur quels attaques je devrait me concentré en priorité (je parlerai pour sûr du XSS et des injections SQL qui sont le cœur de mon sujet, mais aussi des CSRF et deni de service qui j'en suis certains sont des attaques très courantes).

En espérant que vous puissiez m'aider,

Cordialement,

sushi

C'est l'épreuve la plus facile de la section JavaScript.

Enfin, je pensais à quelque chose de plus compliqué (plus de redirection) et quand j'ai eu le pass  c'est déjà fini?!

L'épreuve précédente je me suis trifouillé la tête plus que ça!

J'ai choisit ce pseudo parce que j'ai regardé le monde de némo et le passage du "sushi houhahaha" m'a profondément marqué  .

Bah j'ai eu l'alerte wot mais j'ai quand même tenté d'accéder au site (pas très prudent je l'avoue).

Mon antivirus c'est pas affolé par la suite (Antivir) et mon PC n'a pas de comportement bizarre depuis. Je vais quand même faire une analyse complète on ne sait jamais .

Enfin le lien est-il bien mort?

Je déterre ce sujet car je suis allez sur le site et bien malgré une alerte de Wot je suis quand même rentré dans le site et hop mon PC, le lien était mort mais mon PC a freezé par la suite.

Ce serait gentil d'essayer de lire mes messages jusqu'au bout (même si, je le confesse, ils sont en général très longs et potentiellement rébarbatifs) :  En conclusion, je dirais que le nombre de failles publiées est un indicateur, mais qu'il demande à être pondéré et discuté avant toute conclusion de la sécurité d'un OS.

En fait c'est parce que tu avais écris ça que je posais la question (pour être bien sûr d'avoir tout bien saisi.J'ai bien lu ton message jusqu'au bout même si j'avoue ne pas avoir tout saisi.

Affirmation gratuite et complètement ridicule.

Je posais une question, je n'ai rien affirmer du tout : "je crois que la majorité des hackeurs utilisent Linux" , j'avoue avoir fait une erreur sur le termes hackeur, j'aurais dû plutôt utiliser pirates. (black hat).

D'ailleurs j'avais bien écrit à la fin de mon post: "Je m'exscuse d'avance pour les quelques bourdes que pourrais posséder mon postes ^^ ".

Je répéte seulement ce que l'on m'a dis et essaie d'avoir plusieurs avis autour de moi.

Ensuite, il me PARAIT (je n'en suis donc pas sûr ^^ ) que l'administration sous Linux est plus controlable que sous Window, je veux dire par là qu'il est plus facile de faire des erreurs d'administration sous Window que sous Linux ?
Il est clair que le probléme se situe entre la chaise et l'ordianteur, mais si l'OS permet à l'administrateur de farie le moins de bourdes possibles il n'est pas plus "performant"?

_o_ je te remercie pour toutes tes réponses, et la seul chose que je pourrais affirmer et que je n'ai pas sufisament d'expérience dans le domaine de l'onformatique pour affirmer quoique se soit.

Ok , donc par exemple, si je prend Window et Linux, le fait qu'il y est plus de faille sous Window que sur Linux est dû seulement au nombre d'utilisateurs Window largement plus important que sur Linux?

On peut en conclure donc que Linux et Window et tout autre OS d'ailleurs au NIVEAU DE LA SECURITE sont seulement différents? (donc Linux n'est pas "mieux foutu" question sécurité que Window seulement, il y beaucoup de moins recherches de failles car moins utilisée, mais aussi je crois que la majorité des hackeurs utilisent Linux, ils n'ont pas donc grand interet à développer des vers ou autre malware pour que ceci ceux retourne contre eux ?)

Je m'exscuse d'avance pour les quelques bourdes que pourrais posséder mon postes ^^ 

D'après le wiki, multideskOS est un environement de bureau, il doit donc être basée sur un OS, je ne comprend pas trés bien?

En fait, OpenBSD avec autant de services activé que sous Linux comporte plus de 2 failles, mais OpenBSD est-il l'OS le plus sécurisé pour le moment?

Il parait qu'OpenBSD ne contient aucune faille de sécurité?

Cette OS régle tout  probléme de sécurité?

Je n'ai pas touché à une ligne de code du CMS.

Par contre, j'ai bien peur que les quelques modules que j'ai installé puissent inclure quelques failles, je vais me renseigner demain ^^ .

Drupal protége mes fichiers avec htaccess , mais **orthographe !** appris que htacess comprend plusieurs failles de sécurité!
Par contre, je ne voie pas où tu veux en venir avec les index (j'ai beaucoup de mal avec les mots, tu veux que je crée une archive? une sauvegarde? )

Je n'ai pas activé le deamon ssh (je dis peut-être une bétise là ^^ ), je devrais peut-être créer un script bash qui m'enverrais par mail toutes les heures "qui est connecté au serveur" ? Est-t-il nécessaire d'utiliser un IDE ?

Pour les includes, je n'ai pas touché au code PHP devrais-je m'en préocupper?

"Never trust user's input"? je suis une bille en anglais, je ne comprend pas trés bien.

Et pour finir, des données légitimes? (bien signé? une bonne empreinte? suis-je en train dire n'importe quoi? ^^ ).

Désolé pour ce flux de question ^^ , je suis encore novice pour ce qui touche la sécurité informatique...(d'ailleurs pour tout ce qui touche à l'informatique tout cours :p ).

Bonjour,

Je viens de créer mon site Web grâce au CMS Drupal , j'utilise pour cela un serveur apache2 tournant sous ubuntu Hardy Heron.

J'aimerais savoir qu'elles sont les erreurs les plus courantes à corriger/vérifier avant la mise en ligne du serveur Linux?

Ensuite quels types de tests de sécurité devrais-je effectuer pour éviter tout type de hack "facile" (ou même de niveau intermédiaire d'ailleurs :p ).

en éspérant que vous puissiez m'aider,

Cordialement,

sushis

OK , à confirmer donc, je vais pas me prendre la tête plus longtemp (c'est mon réseau aprés tout ).

Je pense acheter un dongle wi-fi (USB) si ce n'est pas trop cher!

Merci pour vos réponses,

sushis