Defacement

Parlez de tout ce qui n'a pas sa place dans les autres rubriques.

Defacement

Messagepar police-web » 23 Janvier 2012, 14:15

Salut à tous. Vous avez du remarquer qu'en ce moment le defacing c'est la grande mode comme par exemple: http://www.scsport.gov.cn/.
J'aimerais savoir si quelqu'un avait des tutoriels qui l'apprennent, ou au moins qui donnent quelques infos.
Je précise que je ne compte pas l'utiliser, bien que je suis d'accord avec ceux qui se servent de ça pour se battre pour la liberté du net. Je laisse ça à plus compétent que moi, mais c'est un domaine qui m’intéresse, et un jour il faudra bien que d'autre prennent la relève dans le combat :D Et la jeunesse doit se former pour défendre le web :P
"Le seul souverain dont on doit accepter le joug est la raison."
Avatar de l’utilisateur
police-web
Visiteur
Visiteur
 
Messages: 13
Inscription: 09 Janvier 2012, 13:47

Re: Defacement

Messagepar Todd » 23 Janvier 2012, 19:40

Salut,

cette pratique ne nécessite pas la connaissance d'une seule technique, mais comme pour le cracking, tout dépend de la cible ! :roll:
Tu devras donc t'intéresser au hacking en commençant par le début. :wink:

Mais avec ta plume et tes flèches, je t'aurais plutôt vu appliquer le re-défacement ! :D C'est un terme que je viens d'inventer :mrgreen: ... la discipline consiste à trouver le même point d'entrée que le pirate pour remettre en service le site défacé. 8)

Signaler des failles reste une mission noble, mais nuire à autrui pour flatter son ego est répréhensible ! :evil:

Tu peux t'amuser et avoir la reconnaissance d'une communauté, tout en ne basculant pas du côté obscur, sous de faux prétextes ! :wink:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: Defacement

Messagepar Zarathustra » 24 Janvier 2012, 09:12

Pour ton information police-web, le defacing est vraiment considéré comme une technique de lamer. Dans la communauté du hack tu seras vraiment considéré comme un script kiddy, un hacker de bas étages. Il est vrai que tu seras surement considéré comme un héros parmi les anonymous, mais concrètement la gratitude de personnes qui mettent un masque en plastique juste avant de lancer L.O.I.C. et de contribuer à des DDOS de masse en utilisant leur propre IP ça ne m'intéresse pas.
Techniquement le defacing c'est simple, tu as 2 gros points d'entrée:
- la faille applicative, c'est à dire une exploitation du design du site internet, sql injection notamment
-exploitation du service web, c'est à dire un remote exploit sur apache ou IIS.
C'est comme cela que les scripts kiddy font du defacing, évidement il ne font pas ça à la main car ils ne comprennent rien à la RFC HTTP et encore moins comment fonctionne un GET ou un POST mais ils utilisent des outils sur de très très grosses plages IP. C'est pour ca qu'on retrouve souvent les sites plus improbables dans le report des sites défacés: le TV achat colombien, le gouvernement du togo, la chaine TV sportive officielle de la république du Kazakhstan, le script kiddy n'a pas les moyens de viser et de faire mouche sur une cible, il agit en fonction du warning de son outil.
Après si tu cherches des outils il y a à boire et à manger sur le NET, le plus connu étant Nessus par exemple (tu mets l'ip et tu appuyes sur OK) sinon tu as nmap mais faut le coupler avec un petit script, je te donne que les plus connu, mais il y en a certains qui sont spécialisés pour le web.
Si tu t'intéresses au hack, comme je l'entends, et bien je te conseil de suivre les pas de Z0F ou des AcidBitchez , ce sont/étaient les cinglés du NET. Eux ont atteint, selon moi, le plus haut niveau dans la hiérarchie du hack, car eux au moins cherchaient, et trouvaient leurs propres exploits. Et quand tu auras atteint leur niveau, je peux t'assurer que tu n'auras plus besoin de la gratitude d'aucunes communautés.


--
Zarathustra
« La solitude offre à l'homme intellectuellement haut placé un double avantage : le premier, d'être avec soi-même, et le second de n'être pas avec les autres. »
Arthur Schopenhauer
Avatar de l’utilisateur
Zarathustra
Elève
Elève
 
Messages: 49
Inscription: 06 Janvier 2012, 17:39

Re: Defacement

Messagepar police-web » 24 Janvier 2012, 18:30

Et bien merci pour vos réponses complètes encore une fois. Utiliser des outils ne m’intéresse pas, je veux savoir comment ça marche, pourquoi ça marche, et je veux être capable de le faire par moi même. C'est donc du coté de Z0F ou des AcidBitchez que j'irais chercher.
Je me suis en effet demandé pourquoi les sites les plus improbables les un que les autres étaient défacés. Voilà qui rend "l'exploit" bien moins impressionnant. :roll:
En vérité la reconnaissance ne m’intéresse pas, et je n'utiliserais sans doute jamais les techniques apprises pour défacer un site. Mais j'aime savoir ce que je fais, comment ça marche, pourquoi je le fais. A vrai dire plus j’apprends en Informatique, et plus je découvre des choses passionnantes. Et plus je découvre, plus j'ai envie d'apprendre :D
"Le seul souverain dont on doit accepter le joug est la raison."
Avatar de l’utilisateur
police-web
Visiteur
Visiteur
 
Messages: 13
Inscription: 09 Janvier 2012, 13:47

Re: Defacement

Messagepar Todd » 24 Janvier 2012, 21:47

Pour les gens sérieux, qui ne veulent pas tout casser juste pour la frime :evil:, mais qui veulent comme toi surtout comprendre :wink: ... il est plus judicieux de commencer à apprendre comment ça marche :roll:, avant de chercher une faille et un mode opératoire pour que ça ne marche plus ! :?

Avant tout, tu dois te familiariser avec l'environnement WEB. :wink: Le navigateur pour l'interprétation de simples pages HTML, ensuite comprendre le CSS, le javascript, etc. Plus tu voudras re-défacer de cibles :D, plus tu devras élargir tes connaissances dans différents langages de programmation orientés web (ASP.Net, XML, etc.). 8) Tu dois aussi t'équiper d'un environnement de développement pour émuler le serveur et y installer par exemple PHP, MySQL, etc.
Et pour finir tu dois surtout comprendre les interactions entre ces différents éléments. :roll:

Il y a beaucoup de langages à apprivoiser, alors la route est longue, mais l'aventure est passionnante ! :D

police-web a écrit:Voilà qui rend "l'exploit" bien moins impressionnant. :roll:
C'est un habile jeu de mots ! :wink: Peut-être involontaire, mais c'est pas grave ! :mrgreen:

Bon courage. :wink:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: Defacement

Messagepar police-web » 24 Janvier 2012, 22:07

Je n'ai pas la prétention de tout connaitre, mais je connais au moins les bases. Html, css, PHP et mysql.
Je vais donc peut être me mettre au javascript, surtout que ça fait un moment que ça me tente, mais je n'ai pas trop le courage :D Ou plutôt j'ai la flemme :mrgreen:
Par contre mon jeu de mot est surement involontaire, parce que je n'arrive pas à voir où il y en a un :arf:
"Le seul souverain dont on doit accepter le joug est la raison."
Avatar de l’utilisateur
police-web
Visiteur
Visiteur
 
Messages: 13
Inscription: 09 Janvier 2012, 13:47

Re: Defacement

Messagepar Todd » 24 Janvier 2012, 22:59

police-web a écrit:Par contre mon jeu de mot est sûrement involontaire, parce que je n'arrive pas à voir où il y en a un :arf:

L'exploit est une prouesse, quelque chose de remarquable ! 8) Et tu l'entendais probablement ainsi car tu estimais que c'était un exploit de défacer un site ! :roll:
Mais en sécurité informatique, l'exploit est aussi un terme qui consiste à exploiter une faille, il peut désigner un outil ou une technique. :wink:

Donc l'exploit ,utilisé pour défacer, est automatisé, alors ce n'est finalement pas un exploit de l'utiliser ! :P

police-web a écrit:mais je n'ai pas trop le courage
La motivation est liée aux objectifs ! :roll: Apprendre le Javascript pour apprendre le javascript... Bof. :? Défini toi d'abord un objectif qui te donne envie :wink:. Il faut que tu vois un intérêt à cet apprentissage, regarde ce que peut t'apporter ce langage, pioche des exemples alléchants et pas trop ambitieux :roll: et lance toi sur un projet. :)
La page web que tu as donné contient un exemple très basique mais intéressant, et FC en contient également, comme beaucoup d'autres sites. :wink:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: Defacement

Messagepar police-web » 25 Janvier 2012, 08:34

Un projet de site web, j'en ai. Le problème c'est qu'il ai grand, et que je n'ai pas de projet intermédiaire. Donc le javascript n'ai qu'une étape, mais je devrais ensuite apprendre à utiliser flash, et sans doute d'autres choses :) Et ça fait du boulot.
Je sais qu'il faudrait passer par des plus petits projets, mais du coup j'ai pas d'idées dès que c'est petit :mrgreen:
Et pour l'exploit je ne connaissait pas le terme informatique, voilà qui m'a rendu moins inculte :P Enfin du coup tu m'as enlevé ma vision naïve du hacker, qui pour moi était un génie passant son temps à étudier un site pour y trouver une faille et s'y introduire :cry:
"Le seul souverain dont on doit accepter le joug est la raison."
Avatar de l’utilisateur
police-web
Visiteur
Visiteur
 
Messages: 13
Inscription: 09 Janvier 2012, 13:47

Re: Defacement

Messagepar manticore » 14 Février 2012, 10:29

Et pour l'exploit je ne connaissait pas le terme informatique, voilà qui m'a rendu moins inculte :P Enfin du coup tu m'as enlevé ma vision naïve du hacker, qui pour moi était un génie passant son temps à étudier un site pour y trouver une faille et s'y introduire


Ca dépend, utiliser un bot qui va scanner 10000000 IP pour trouver une erreurs de configuration et defacer le site c'est pas un génie. Maintenant découvrir une faille 0days (une nouvelle faille applicative), c'est beaucoup plus dur, et demandent beaucoup plus de compétences.


Juste pour t'aider un peu à débuter voila les 10 failles les plus souvent rencontrés :

hxxps://www.owasp.org/index.php/Top_Ten

En cherchant un peu tu trouves un site vulnérables toutes les heures ;) Mais ce sont des failles relativement simple.

Tu peux aller faire un tour sur :

hxxp://www.root-me.org, les CTF (capture the flag) et les challenges réalistes te montrerons quelques failles typiques à utiliser en série. C'est pour l'instant le meilleur site de challenge dans cette catégorie (à mon goût).

Sur [url]hxxp://www.newbiescontest.org/url], il y a pas mal d'analyse de code php (dans les derniers challenges), c'est vraiment sympa comme exercice, car c'est ce que tu dois faire quand tu relis ton code que tu fais du code revue.

Avant tout, tu dois te familiariser avec l'environnement WEB. :wink: Le navigateur pour l'interprétation de simples pages HTML, ensuite comprendre le CSS, le javascript, etc. Plus tu voudras re-défacer de cibles :D, plus tu devras élargir tes connaissances dans différents langages de programmation orientés web (ASP.Net, XML, etc.). 8) Tu dois aussi t'équiper d'un environnement de développement pour émuler le serveur et y installer par exemple PHP, MySQL, etc.
Et pour finir tu dois surtout comprendre les interactions entre ces différents éléments. :roll:


D'accord dans les grandes lignes, mais bon tu peux aussi te spécialiser un minimum hein ;) parce que apprendre tous les langages web c'est long rébarbatif... et encore long et de nouveau rébarbatif ;)

Si tu veux comprendre attaque toi à un langage, personnellement j'ai choisi le php, car c'est lui qui est souvent présent sur les challenges de hacking. Un document vraiment sympa, (même si en lisant l'auteur on a presque envie de lui tirer des baffes) :

hxxp://www.shell-storm.org/papers/files/400.pdf

Et de manière général pas mal d'info sur shell-storm

Les intéractions entre BD - Serveur - XML - http sont assez basique et ne devraient pas poser de problèmes.

Pour ma part je considère pas le cracking (au sens large) et le hacking comme deux disciplines séparés par un mur infranchissable. La plupart des connaissances de cracking sont utiles en hacking, car une fois sur le serveur, il va bien falloir exploiter quelques choses, comme un binaire, ou une application et pour trouver une faille on fait aussi du reverse ;)
manticore
Apprenti
Apprenti
 
Messages: 57
Inscription: 07 Février 2012, 16:50

Re: Defacement

Messagepar Todd » 15 Février 2012, 00:37

manticore a écrit:parce que apprendre tous les langages web c'est long et rébarbatif
Oui, mais en même temps, je n'ai pas dit qu'il fallait tout attaquer la même semaine ! :shock: Mais à terme, c'est indispensable sauf si on veut se contenter d'utiliser des outils tous faits. :wink:
manticore a écrit:Si tu veux comprendre attaque toi à un langage, personnellement j'ai choisi le php
Et tu as donc dû remarquer qu'il était intimement lié (même systématiquement) à de l'HTML, et en poussant un peu, on se dit : "mais c'est quoi ces commandes dans les balises qui font référence à un fichier CSS ?" :shock: De plus il est rare que le code PHP ne fasse pas accès à une BDD SQL ! :roll: "Et pourquoi y a-t-il du mouvement sur ma page après son chargement alors que je ne touche plus à rien ? :shock: Le JavaQuoi ? :? ... Script ?" :mrgreen:
Alors je ne doute pas que tu aies déjà ces notions :wink:, mais je maintiens que pour une bonne compréhension globale, il faudra à un moment donné faire le tour de la question. :wink:

Sinon merci pour les liens, qui devrait intéresser nos amis francophones. :wink: Le Top10 en version French ne semble pas sortir d'un traducteur automatique. :D Tu nous as trouvé de lecture de qualité. 8) Merci. :wink:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: Defacement

Messagepar baboon » 15 Février 2012, 11:21

Je crois surtout que ce que voulais dire manticore c'est qu'on peut tout apprendre sur le tas, comme ça vient et selon les besoins.
De la même façon que nous n'avons pas lu la MSDN et appris le Java, le .NET et les man intel avant de nous mettre au reverse ;)
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3346
Inscription: 08 Juillet 2005, 17:49

Re: Defacement

Messagepar manticore » 15 Février 2012, 12:35

Sinon merci pour les liens, qui devrait intéresser nos amis francophones. :wink: Le Top10 en version French ne semble pas sortir d'un traducteur automatique. :D Tu nous as trouvé de lecture de qualité. 8) Merci. :wink:


Oui l'owaps est pour moi la référence en matière de sécurité web, et leur outils sont justes superbes (par exemple webscarab).


Je crois surtout que ce que voulais dire manticore c'est qu'on peut tout apprendre sur le tas, comme ça vient et selon les besoins.
De la même façon que nous n'avons pas lu la MSDN et appris le Java, le .NET et les man intel avant de nous mettre au reverse ;)


Exactement ;). Surtout que notre ami dis connaître les bases d'
Html, css, PHP et mysql.


Ce qui est plus que suffisant pour commencer, car il connaît les interactions, évidente entre les langages :)
manticore
Apprenti
Apprenti
 
Messages: 57
Inscription: 07 Février 2012, 16:50


Retourner vers Divers

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités