Abraham Lincoln (répétant un bucheron) aurait répondu à la question : que feriez-vous si vous aviez seulement six heures pour abattre un arbre ? Je passerai les quatre premières à affûter ma hache.
Qu’est-ce que cela nous dit ? Que la préparation est la clé.
Vous ne pouvez pas protéger ce que vous ne connaissez pas, c’est pourquoi connaitre sa surface d’attaque est le premier pas essentiel pour la protéger efficacement.
Une fois que vous avez décidé de faire un pentest, vous pouvez vous demander s’il doit cibler votre environnement de production.
Selon les risques, il peut être justifié de conduire l’audit de sécurité soit sur l’environnement de production, soit sur un environnement de test. Vous trouverez ci-dessous un résumé des avantages et des inconvénients de chacune de ces possibilités.
Vaadata est une start-up spécialisée en audits de sécurité. Nous recherchons un consultant cybersécurité (H/F) pour rejoindre notre équipe, à l’interface entre les enjeux techniques et business.
25 pages pour connaître les vulnérabilités courantes et exploitables sur les technologies sans fil de l’IoT, ainsi que les moyens pour les contrer ou pour réduire les risques.
Vaadata est une startup en cybersécurité (pentest) recherchant un stagiaire (ou éventuellement un alternant) pour travailler sur un projet interne de développement front en ReactJS.
Le top 10 OWASP 2017 introduit comme risque l’insuffisance de logging et de monitoring. En effet, les problèmes inhérents à cette pratique sont souvent sous-évalués et mal compris. Mais pourquoi une tâche simple en apparence est finalement un point crucial de la sécurité des systèmes d’information ?
De cette année aux trop nombreuses cyberattaques, nous en avons tiré 5 éléments significatifs à retenir : voici notre récapitulatif cybersécurité 2019.
Un certificat électronique est un fichier de données permettant :
Un certificat électronique comprend plusieurs informations, dont :
Ce dernier point est crucial pour vérifier la confiance d’un certificat. Pour cela, quand un certificat est récupéré, une chaine de confiance est construite jusqu’à une autorité de certification.
Pour expliquer le fonctionnement de la chaine de confiance, introduisons quelques notions :
Le framework Metasploit est un outil open source, permettant la recherche, l’analyse et l’exploitation de vulnérabilités informatiques. Il dispose de nombreux modules et outils qui peuvent être très utiles dans le cadre de tests d’intrusions, que ce soit sur des applications Web ou sur le système informatique d’une entreprise.
Alors qu’il est utilisé de manière assez basique, par exemple pour lancer un simple module d’exploitation sur une cible, ce framework dispose d’options et d’outils qui lui permettent de devenir un allié de poids lors d’un pentest. Nous allons donc voir ici comment utiliser le framework Metasploit de manière optimisée.
Pour la démonstration, nous allons attaquer un réseau local dans lequel nous sommes branchés.
Avant de commencer un pentest, faut-il présenter votre produit ou votre solution aux pentesters ?
Tout dépend de votre situation et de vos objectifs !