Cet outil protège votre machine contre les attaques ARP spoofing

Les attaques ARP spoofing permettent aux pirates de se positionner entre les flux de communication transitant entre leur victime et une passerelle. Cette technique leur permet notamment d’intercepter ou de modifier des trafics, et même d’empêcher tout trafic. shARP est un script shell qui peut détecter les attaques ARP spoofing. L’outil de défense comprend notamment deux modes d’opération: _ Defensive… Read More »

Authentication en deux étapes sur un serveur SSH – Clé publique + code TOTP

OpenSSH permet plusieurs types de combinaisons pour sécuriser vos accès SSH. Dans ce billet, nous verrons comment mettre en place une authentification en deux étapes sur un serveur SSH installé sur un système Ubuntu 16.04.2. Sous Linux, PAM ou Pluggable Authentication Module est un système d’authentification qui peut intègrer d’autres méthodes d’authentification. Pour générer le code TOTP, nous… Read More »

Les navigateurs Opera, Chrome, Firefox, vulnérables à cette attaque d’hameçonnage

Un chercheur chinois a découvert une nouvelle attaque d’hameçonnage qui pourrait même tromper les utilisateurs les plus prudents. Avant d’aller plus loin, je vous invite à visiter ce site démo conçu par Xudong Zheng: https://apple.com. Si votre navigateur affiche apple.com avec un certificat sécurisé mais un contenu différent du site officiel de la pomme, alors votre navigateur est vulnérable à… Read More »

Comment obtenir le mot de passe d’un utilisateur Windows grâce à un document Office ?

WordSteal est un script qui peut générer des documents Office malicieux capables d’obtenir des hashes NTLM d’un utilisateur Windows. Pour ce faire, le script utilise une faille connue dans le protocole SMB de Windows. Vous pouvez télécharger l’outil hacking à partir de son repo GitHub à l’aide de la commande ci-dessous: $ https://github.com/0x090x0/WordSteal.git Entrez dans le dossier téléchargé,… Read More »

Centralisez vos accès SSH avec KeyBox

KeyBox est une application Open Source qui peut vous aider à gérer plus facilement vos serveurs SSH. Une fois installé et lancé sur votre machine, KeyBox vous offre une interface web qui permet de configurer vos accès à travers plusieurs serveurs SSH. Cette application vous permet entre autres de synchroniser plusieurs terminaux, d’exécuter des commandes sur plusieurs shells… Read More »

ssh_scan – le scanneur de configuration SSH

ssh_scan est un scanner de configuration de serveur SSH écrit en Ruby. C’est un outil Open Source conçu par Mozilla Winter of Security. ssh_scan peut être très utile pour des sessions de pentest et d’audit système. Pour l’installer il suffit de lancer cette commande: $ gem install ssh_scan Voici toutes les options disponibles avec ssh_scan: Exemple d’utilisation mdestroy

Comment les capteurs de votre Smartphone peuvent révéler vos mots de passe ?

Des chercheurs de l’université de Newcastle ont publié une recherche qui présente les risques posés par les nombreux capteurs qui font parti des smartphones modernes. Les données de ces capteurs peuvent être exploitées pour obtenir des informations sensibles sur les utiliateurs telles que leurs logins de connexion. Nos Smartphones viennent tous équipés de plusieurs types de capteurs tels… Read More »

Comment créer une URL .onion de n’importe quel site avec EOTK ?

EOTK est un outil gratuit qui peut vous permettre de rendre accessible votre site Web depuis le réseau de Tor. Pour des raisons de protection de vie privée, les sites Web optent de plus en plus pour des URL .onion pour permettre aux internautes d’accéder à leur service en toute anonymité. C’est ainsi que ProtonMail a rendu son service disponible sur… Read More »

HashData – L’outil en ligne de commande pour identifier vos hashes

Hashdata est un outil écrit en Ruby qui peut vous servir à identifier des types de hash. Cet outil supporte tous les algorithmes populaires. Installez-le à l’aide de cette commande: $ gem install hashdata Puis, lancez l’outil en saisissant dans votre ligne de commande hashdata. Son utilisation est simple. Il vous suffit de saisir le hash, et l’outil vous… Read More »

Wuzz – l’inspecteur HTTP en ligne de commande

Wuzz est un outil qui sert à manipuler les requêtes HTTP et HTTPS depuis la ligne de commande. Cet outil peut vous aider à mieux personnaliser vos requêtes pour des fins de pentesting. Wuzz peut s’avérer également très utile pour trouver des failles Web telles que le LFI, le directory traversal, entre autres. Avant d’utiliser Wuzz, il est nécessaire d’installer… Read More »