Blogue de JD Genest

Comment j'ai fail Ă  me pirater đŸ˜„

2022-11-02 /  493 mots /  2 min de lecture
image non présent

Avec ce nouveau site, j'ai voulu me pirater, question de voir si je suis si faillible.  Alors pour ce faire j'ai utilisĂ© les 5 Ă©tapes de l'attaque qui sont: reconnaissance, scanning, gaining access, keep access, cover ops and flee.  Car au cours d'une attaque, on suit toujours ces Ă©tapes.

Alors, pour ce faire, j'ai commencĂ© par le balayage, j'ai installĂ© le plugiciel wapanalyser pour les technos web utilisĂ©, shodan pour ce qui est du rĂ©seau et je me suis fait un nmap pour voir les services par port. Pour les premiers, j'ai juste vu mes ports ouverts que l'hĂ©bergeur me donne, ceci c'est normal, car ce sont de la reconnaissance passive tandis que pour l'autre je me suis fait bloquer par l'ips.  Ceci est dĂ» au fait, que j'ai mal paramĂ©trĂ© ma requĂȘte et ceci a Ă©tĂ© dĂ©couvert.  Avant de fermer toute possibilitĂ©, j'ai rĂ©essayĂ© avec un VPN, celui qu'Apple donne, et j'ai fait un gobuster pour voir tous les chemins possibles de mon site.  Que nini, le coupe-feu de mon hĂ©bergeur me pogne et je retourne Ă  la case de dĂ©part. 

Mais bon, j'ai quand mĂȘme comme information que je suis avec lighthttp et php pi laravel, mais je n'ai pas les versions.  Alors, j'ai testĂ© avec la recherche de mon site et le formulaire de contact 2 attaques qui sont:

  1. sqlinjection: je passe par les entrés du site comme le formulaire de contact pour parler avec la base de données directement.
  2. xss: par le mĂȘme formulaire, j'essais de mettre du code javascript empoisonnĂ©. 

J'ai été bloqué, non par le coupe-feu de mon hébergeur, mais de laravel.

AprĂšs tout, cela Ă  grand mot les grands moyens, je tente un bruteforcing avec legionhydra et je paramĂštre le tout pour passer en dessous de l'ips(20 requĂȘtes par secondes).  Bloquer encore, laravel a un nombre limite d'authentifications.

Alors, aprĂšs tout cela, je ne peux continuer.  Mais bon, le but n'Ă©tant pas pour faire un spectacle sur ma sĂ©curitĂ©, mais pour montrer comment on peut faire une attaque sur un site.  Comme vous pouvez voir, c'est beaucoup d'essais et erreur, mais une chose qui faut se rappelĂ© lĂ -dessus.  Une sĂ©curitĂ© n'est jamais assez. 

Section commentaires

Pas de commentaire