Topic de jeansayku :

venez apprendre la CYBERSECURITE

Le 20 décembre 2020 à 18:26:27 SaumonOdorant a écrit :

Le 20 décembre 2020 à 18:16:26 Carl_ a écrit :

Le 20 décembre 2020 à 18:12:03 SaumonOdorant a écrit :

Le 20 décembre 2020 à 18:10:24 jeansayku a écrit :
38 personnes https://image.noelshack.com/fichiers/2018/02/7/1515959876-check.png vous lisez c'est ça ? https://image.noelshack.com/fichiers/2016/30/1469541952-risitas182.png

Répond à ma question fdp:
en php, est-ce qu'une requête préparé est forcément sécurisé contre les injections sql ?

Jte dirais oui perso si tu envisages toutes les possibilités d'injection contre ta requête même les plus farfelus
+ T'a des aides contre l'injection aussi

Et comment se protéger efficacement ?

Par exemple, pour enregistrer un truc venant d'un formulaire, comme une adresse e-mail, faire une regex avant pour vérifier que l'email est bien au format mailto:exemple@exemple.com , ça réduit considérablement les risques ?

Ben déjà oui ça force les gens à entrer que des mails par exemple
Comparer les extensions pour voir si l'adresse est valide peut aussi servir à empêcher quelqu'un d'ajouter du texte après un .com ou un .fr

Merci pour le topic, l'OP. https://image.noelshack.com/fichiers/2017/08/1487984196-789797987987464646468798798.png
J'ai pas lu, mais je me suis abo pour revenir le lire plus tard. https://image.noelshack.com/fichiers/2017/22/1496491923-jesusperplex2.png

+ UP https://image.noelshack.com/fichiers/2020/50/7/1607825006-7d5485c6-f9b4-46a4-87a1-110dc0412d3f.png

Le 20 décembre 2020 à 18:35:55 Carl_ a écrit :

Le 20 décembre 2020 à 18:26:27 SaumonOdorant a écrit :

Le 20 décembre 2020 à 18:16:26 Carl_ a écrit :

Le 20 décembre 2020 à 18:12:03 SaumonOdorant a écrit :

Le 20 décembre 2020 à 18:10:24 jeansayku a écrit :
38 personnes https://image.noelshack.com/fichiers/2018/02/7/1515959876-check.png vous lisez c'est ça ? https://image.noelshack.com/fichiers/2016/30/1469541952-risitas182.png

Répond à ma question fdp:
en php, est-ce qu'une requête préparé est forcément sécurisé contre les injections sql ?

Jte dirais oui perso si tu envisages toutes les possibilités d'injection contre ta requête même les plus farfelus
+ T'a des aides contre l'injection aussi

Et comment se protéger efficacement ?

Par exemple, pour enregistrer un truc venant d'un formulaire, comme une adresse e-mail, faire une regex avant pour vérifier que l'email est bien au format mailto:exemple@exemple.com , ça réduit considérablement les risques ?

Ben déjà oui ça force les gens à entrer que des mails par exemple
Comparer les extensions pour voir si l'adresse est valide peut aussi servir à empêcher quelqu'un d'ajouter du texte après un .com ou un .fr

Dans la regex, j'ai limité à 4 caractères autorisé après le . :oui:

J'ai lu et je up, c'est intéressant même si ce n'est que les bases on dirait et ça serait bien d'en savoir plus :oui:
bon pour l'instant c'est vraiment les bases, c'est pas à ce genre de niveau que je vais pouvoir apprendre des trucs :sleep:

Le 20 décembre 2020 à 19:31:22 Banclistologue a écrit :
bon pour l'instant c'est vraiment les bases, c'est pas à ce genre de niveau que je vais pouvoir apprendre des trucs :sleep:

je vous ai compris les clés https://image.noelshack.com/fichiers/2016/50/1482000512-onsecalmerisitas.png
le problème c'est que si j'adresse directement des sujets techniques complexes, je vais perdre les 3/4 de l'audience et c'est dommage car je suis convaincu que je peux ammener la plus part d'entre vous à un savoir plus poussé avec le temps https://image.noelshack.com/fichiers/2019/43/6/1572112988-evenement-incroyable.png
un savoir... plus sombre... https://image.noelshack.com/fichiers/2019/22/2/1559008556-mage-noir.png
un savoir qui implique de grandes résponsabilités... https://image.noelshack.com/fichiers/2017/08/1487601258-issou-man.jpg

si vous êtes assez patient et courageux, je pourrais vous parler d'exploitation de buffer overflow, de shellcode, de XXE, de XSS, de LFI, RFI, de RCE, de bypass, de XSRF, de TUNNELING, de reverse de protocol, de Return oriented Programming dédié à l'exploit de bof, de chiffrement en runtime de malware ETJ'EN PASSE https://image.noelshack.com/fichiers/2019/29/4/1563479202-babass.png
mais chaque chose en son temps les clés, il faut bien commencer quelque part..

j'vous ferais peut etre une suite demain les crayons, c'est tout pour aujourd'hui https://image.noelshack.com/fichiers/2018/02/7/1515959876-check.png
bonne soirée à tous https://image.noelshack.com/fichiers/2016/38/1474490285-risitas466.png

Le 20 décembre 2020 à 20:36:11 jeansayku a écrit :
j'vous ferais peut etre une suite demain les crayons, c'est tout pour aujourd'hui https://image.noelshack.com/fichiers/2018/02/7/1515959876-check.png
bonne soirée à tous https://image.noelshack.com/fichiers/2016/38/1474490285-risitas466.png

Bonne soirée, clé. https://image.noelshack.com/fichiers/2018/02/7/1515959876-check.png

Vraiment interessant comme univers. Je suis admin système et réseau, je pratique très peu la cyber sécurité, on a une équipe dédiée à ça au boulot, avec des experts sécu (souvent des externes à leur compte d’ailleurs). J’aimerai m’orienter la dedans.
Merci jeannot cetait intructif
J'ai lu ce topic + le premier où tu parles de ton metier c'est interessant, après pour ce topic là tu abordes des notions que tout le monde connait je pense quand tu t’intéresse de loin à la sphère informatique déjà
Ce serait cool si tu parlais de ton métier

OKAI MES CRAYONS https://image.noelshack.com/fichiers/2019/14/4/1554408416-yenabon2.png
HERE COMES THE SWEET https://image.noelshack.com/fichiers/2019/20/4/1557970825-hotpie-vieux.jpg
Bon alors j'ai bien compris que vous étiez intéréssés par la sécurité offensive, et que vous en aviez rien à branler du chiffrement , des certificats, des IP etc. https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png
alors je vais essayer de rendre le tout un peu plus SEXY https://image.noelshack.com/fichiers/2017/08/1488048306-46846464648694984896468469.png
on va parler de HACKING https://image.noelshack.com/fichiers/2020/11/4/1584047934-depardieu-matrix.png
dans mon metier , on réalise ce qu'on appelle des PENTEST, ou TESTS de PENETRATIONS https://image.noelshack.com/fichiers/2020/15/2/1586210743-risitas-hacking-altieri.png .
attention les puceaux qui se gaussent au fond de la salle, je vous vois https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png
alors comme vous l'aurez devinez (ou pas, y'a pas de mal mais ferme ta sale petite bouche si c'est le cas) , l'objectif des pentests c'est de trouver un MAXIMUM de vulnérabilités sur le périmètre donné. https://image.noelshack.com/fichiers/2016/48/1480440491-videotogif-2016-11-29-18-21-15.gif
On cherche pas une vulnerabilité, pas 2 pas 3, l'objectif, c'est de TOUT EXPLOSER d'accord ? https://image.noelshack.com/fichiers/2017/19/1494425014-img-3979.jpg
ALORS TU PRENDS TON PC ET TU FAIS TOUT PETER BORDEL https://image.noelshack.com/fichiers/2018/03/7/1516559702-risitrump-eussou.png
Concretement, les sociétés font appels à ce genre de service pour essayer de MITIGER l'impact d'une attaque réelle sur l'un de leurs ASSETS. En ayant conscience des vulnerabilités qui éxistent au sein de sa société, on peut mettre en place des correctifs, des plans d'actions, on peut analyser l'impact des vulnerabilités qu'on décide de ne pas corriger, etc etc. Il faut savoir que dans une société , quand on parle d'asset,ou de ressource , ça peut être les machines, les logiciels, mais aussi les employés, les locaux, etc etc.
Alors vous allez me dire "mais non de dieu tu vas quand même pas pentester les humains ? https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png " dans le cadre d'un PENTEST non, mais dans le cadre d'activités de REDTEAMING, ça nous arrive très frequemment https://image.noelshack.com/fichiers/2020/47/1/1605544007-nagui-triangle-zafeiri.png mais je reviendrais là dessus une autre fois https://image.noelshack.com/fichiers/2017/11/1489655148-collard-chant-des-cerises.png
ALORS VOILA BORDEL, JE VAIS VOUS APPRENDRE A TOUT FAIRE PETER AUTOUR DE VOUS https://image.noelshack.com/fichiers/2017/19/1494425014-img-3979.jpg https://image.noelshack.com/fichiers/2017/19/1494425014-img-3979.jpg
EST-CE-QUE VOUS ÊTES CHAUUUUD ??? https://image.noelshack.com/fichiers/2020/05/5/1580511514-angerfist.jpg
(putain j'aurai du être prof https://image.noelshack.com/fichiers/2017/03/1485021244-risicours.jpg .bref https://image.noelshack.com/fichiers/2017/14/1491340947-sans-titre.png )

Bon alors aujourd'hui je vais faire un petit tuto sur la manière dont on réalise le PENTEST d'un site WEB d'accord ? https://image.noelshack.com/fichiers/2020/21/2/1589893009-macronexplique2.png
c'est pas quelque chose de foncièrement COMPLIQUER, et chaque HACKER à ses propres petites techniques. https://image.noelshack.com/fichiers/2017/15/1492366588-hokasselineau3.png
je vais pas vous révéler précisément la mienne, déjà parce-que j'en ai honte (non je déconne je suis un maitre en la matière https://image.noelshack.com/fichiers/2017/10/1489248741-risitas-roi.png ), mais surtout parce-que c'est VOUS qui allez devoir trouvez votre propre technique avec le temps.
La raison c'est que je ne peux que vous montrer le CHEMIN https://image.noelshack.com/fichiers/2017/27/4/1499357873-napalm-en-chemin.png
alors comme vous avez fait les fous "oui je connais ça c'est trop basique olol https://image.noelshack.com/fichiers/2019/17/2/1556038699-c-est-pas-moi-qui-le-dit-c-est-ecrit-sur-wiki.png "
voila la liste des notions qu'il faut connaitre pour accéder à ce cours, et je ne donnerai pas d'explications dessus . comme je suis pas le dernier des crevards, je vais quand meme vous donner quelques liens pour rafraichir votre mémoire de mollusque matrixé par la boucle https://image.noelshack.com/fichiers/2020/30/6/1595640883-matrix-4.jpg :
Alors il faut connaitre :
Les adresses IPv4 (c'est quoi et comment ça marche : https://www.reseaucerta.org/sites/default/files/principesBaseIP_etudiant.pdf
Les ports en informatique . Bon j'ai pas trouvé de site bien donc je vous donne la définition au tableau https://image.noelshack.com/fichiers/2016/51/1482146627-img-4664.png
en informatique , vous pouvez imaginez qu'un PORT correspond à une PORTE dans la vraie vie. Juste une porte d'accord ?
souvent on entends dire "j'ai ce port qui est ouvert". quand un port est détecté comme OUVERT sur une machine, cela veut dire qu'une APPLICATION ( on a plutot tendance à dire un SERVICE) ÉCOUTE sur ce port.
quand un port est juste ouvert mais qu'il n'y a pas de service qui écoute derrière, en général vous savez pas que ce port est ouvert ( y'a des exceptions mais on s'en branle c'est votre premier jour d'école). https://image.noelshack.com/fichiers/2017/11/1489818993-jesuspijfixfinal.png
En d'autres termes, il y a une application ou un service sur la machine qui accepte de discuter avec l'exterieur ( bien souvent sous certaines conditions) sur ce port donnée.
Imaginez que l'ordinateur est un hôtel avec des centaines de portes qui donnent toutes sur une chambre ( à la manière des hotels américains tout pourris là , vous voyez ? https://image.noelshack.com/fichiers/2019/38/5/1568964902-8.png . genre chaque chambre donne sur l'exterieur direct.
https://image.noelshack.com/fichiers/2020/52/1/1608547627-70496292.jpg
Bon bah l'hotel , le batiment, c'est la machine. Comme cet hotel de merde qui a une adresse sur google map, la machine à une adresse IP.

Bon et maintenant , imaginez que chaque chambre est une application.

Donc l'hotel est la machine, et la chambre est l'application. https://image.noelshack.com/fichiers/2019/38/5/1568964899-5.png

Si le maitre d'hotel ouvre une porte, on peut acceder à la chambre depuis l'exterieur (en se rendant à la bonne adresse bien entendu). https://image.noelshack.com/fichiers/2019/38/5/1568964781-4.png

et bien en informatique bande de furieux, c'est la même chose. https://image.noelshack.com/fichiers/2017/10/1488820549-picsart-03-06-06-06-10.jpg

Si l'admin ouvre un port , on peut accéder à l'application depuis l'adresse IP en communiquant sur le bon port. Compris ? https://image.noelshack.com/fichiers/2019/38/5/1568964779-1.png

par exemple quand vous allez sur JVC, vous accedez en fait au serveur de la société (l'hotel), qui heberge un service web (la chambre), sur le port 80 (la porte)
( les jean-experts reverse proxy blablabla je vous mets à l'amande commencez pas a faire les fous a me parler de reverse proxy blabla la redondance les pool d'ip JE SAIS PUTAIN JE FAIS AU PLUS SIMPLE pour que tout le monde comprenne https://image.noelshack.com/fichiers/2017/01/1483877998-risitas-instituteur.png )
OK c'est tout pour les ports.

donc faut aussi avoir des notions en HTML , en JAVASCRIPT, en algorithmie, et en SQL
je vous la fait très courte avec des analogies comme vous êtes pas très futfut' https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png (non finalement j'aurai pas pu être prof https://image.noelshack.com/fichiers/2017/20/1495043098-larry-thmetique.png )
HTML => c'est le langage qui permet de mettre en forme votre site web.
JAVASCRIPT => le JAVASCRIPT s’exécute sur la machine du CLIENT ok ? quand vous visitez un site internet et qu'il y a du javascript sur le site, le code s'execute sur VOTRE POSTE. Si vous voulez tout savoir et brassez devant les copains, vous pouvez meme leurs dire que le navigateur web alloue une plage mémoire dans le heap et charge le javascript dynamiquement dans la plage mémoire avant de l'executer dans un interpreteur implémenté au sein même du navigateur.
Si je vous ai perdu j'en ai rien à foutre, apprennez ça par coeur ce sera demandé dans l'intéro https://image.noelshack.com/fichiers/2016/46/1479187311-jesus49.png . Non je déconne on s'en fou oubliez ce que je viens de dire.
ce qui est important, c'est que le JAVASCRIPT s’exécute CHEZ VOUS, DANS VOTRE NAVIGATEUR POURRIS . ok? https://image.noelshack.com/fichiers/2016/51/1482171512-chhhchhh.png bien.
Le SQL, c'est le language qu'on utilise pour intéragir avec la base de donnée du site web. à moins que votre site ce soit un site d'une seule page, une "vitrine onepage" comme on les appels dans le jargon ( dont on a rien a foutre soit dit en passant arretez avec vos CV one page sinon je vous mets une steak https://image.noelshack.com/fichiers/2020/11/1/1583757367-tape-nuque-claque.png ) , bah il va y avoir des données, à afficher, à sauvegarder, à manipuler etc. ces données, on les stock dans une base de donnée (SQL, NOSQL, OU QUE SAIS-JE ENCORE..). on va commencer simple, et dire que c'est une base de donnée SQL d'accord mes petits crayons adorés ? https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png
https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png il est mignon celui là avec son chapeau guili guili guiliii ENLEVE TA CASQUETTE DANS MA CLASSE ESPECE DE SALE FILS DE P...oui bon aller va t'asseoir https://image.noelshack.com/fichiers/2020/19/2/1588673311-182d876e-3f6f-4b2b-9069-be8ac159c9cc.jpeg

Suite au prochain épisode si ça vous plait mes crayons, uppercutez et abonnez vous sinon la sweet je l'écris pas et vous trouverez un autre moyen pour rentrer dans la boite mail à papa maman pour qu'ils voient pas que vous payez le onlyfan à belledelphine avec leurs cartes bleus https://image.noelshack.com/fichiers/2017/47/2/1511287070-risi-femme3.png

Je up, beau boulot de pédagogie khey :rire:

Le 21 décembre 2020 à 12:30:08 SireIsseur a écrit :
Je up, beau boulot de pédagogie khey :rire:

merci mon seigneur https://image.noelshack.com/fichiers/2018/02/7/1515959876-check.png

Intéressant clé :hap:

Ce serait plus lisible si tu structurais tout ça sur un github avec la mise en page Markdown !

Et go créer un Discord

Données du topic

Auteur
jeansayku
Date de création
19 décembre 2020 à 23:42:53
Nb. messages archivés
102
Nb. messages JVC
95
En ligne sur JvArchive 292