Etant le CMS (Content Management System) le plus répandu, il est fatalement intéressant pour des attaquants. Cela étant, les développeurs ont l’air de faire sérieusement leur boulot, et c’est plutôt du côté des plugins qu’il faut voir les risques.
Continuer la lectureArchives de catégorie : Sécurisation
Modification de fichiers (Linux)
Toujours utile : pour remplacer une chaîne dans un fichier sans l’éditer. Intérêt ? Le faire en ligne de commande, dans un script…
Continuer la lectureDroits, utilisateurs et répertoires (Linux)
Voici quelques commandes utiles pour voir ce qui se passe dans les répertoires d’un système Linux.
Bases
- Les utilisateurs sont visibles dans /etc/passwd
- Les groupe sont visibles dans /etc/group
Scripts
Voir tous les groupes d’un groupe :
#! /bin/bash # for i in $(cat /etc/passwd | cut -d: -f1); do echo -n $i ": " grep $i /etc/group | cut -d: -f1 | tr "\n" " " echo done
Voir les répertoires où un utilisateur (ou un groupe) à des droits :
sudo find / -type d -user USER -perm /u=w sudo find / -type d -group GROUP -perm /g=w sudo find / -type d -perm /o=w
A affiner selon des droits recherchés et les répertoires.
Ajouter un utilisateur (sans aucun paramétrage) :
useradd USER
Ajouter un utilisateur avec paramétrage :
adduser USER
Exemple pour créer un utilisateur sans mot de passe, sans shell, dans un groupe donné :
adduser USER --ingroup GROUP --shell /bin/false --disabled-password
Quel intérêt ? Par exemple pour créer un utilisateur se connectant avec une clé SSH…
Et pour ajouter un groupe à un utilisateur :
adduser USER GROUP
Voir aussi
Base de registres Windows
Foutue base de registres : indispensable et anachronique !
Continuer la lectureDéveloppement
Plutôt que de réinventer la roue (et mal), voici le guide de la CNIL à destination des développeurs.
Cryptographie en Python
Python est un langage pratique pour différents usages, y compris la cryptographie. Voici mon aide-mémoire sur le sujet.
Installation
Il faut jouer du pip. Le module le plus important est cryptography !
Voir aussi
- Mon repository GitHub
TOTP
TOTP signifie Time-Based One-Time Password Algorithm. Bien. Les choses sont posées.
Continuer la lectureServeur VPN
Installation d’un serveur
Version Ubuntu
apt install easy-rsa
Source
Pour apprendre
Sites web pour apprendre
- https://zenk-security.com
- https://bugtraq-team.com
- https://root-me.org
- https://skillset.com
- https://dvwa.co.uk
Des sites web payants
- Pluralsight
Recensement de formations et de certifications
Les gestionnaires de mots de passe faillibles ?
Vraiment ? L’actualité court sur tous les sites web (enfin, quelques uns) pour indiquer que les gestionnaires de mots de passe comme KeePass ou 1Password laisseraient des informations critiques en clair.
Continuer la lecture