Auditer son site web avec skipfish

Posté par seiyar81 le 8 avril 2010 | Laisser un commentaire (1)
skipfish

La sécurité est une des principales préoccupations des entreprises concernant leurs données. La sécurité passe par la protection des données, la capacité à se protéger contre les attaques, les intrusions etc…

De nombreuses applications payantes existent et permettent d’auditer des sites web comme Nikto ou Nessus. Ces logiciels sont puissants mais skipfish possède un avantage sur ses concurrents :

“Il est rapide et consomme très peu de ressources !”

En effet la documentation annonce plus de 500 requêtes par secondes sur Internet, 2000 via un LAN et 7000 en local, tout ceci avec un processeur apparemment modeste. Tout ceci grâce à une bonne gestion du protocole HTTP 1.1, aux appels réseaux asynchrones et enfin grâce l’implémentation en C du logiciel.

On peut lui passer un bon nombre d’options comme refuser les cookies, ne pas scanner tel sous-domaine, le nombre maximum de connexions TCP etc…
Skipfish génère ensuite un fichier HTML très simple et agréable à utiliser. On repère ainsi facilement les erreurs, qui sont d’ailleurs plutôt bien détaillées.

Concernant le logiciel lui-même, il est développé par Michal Zalewski, un développeur polonais pour le compte de Google, et il est disponible sous license Apache 2.0

Pour l’installer, il suffit de récupérer l’achive tarball puis ensuite :

tar -xzf skipfish-1.29b.tgz
// On compile
make
// Si vous obtenez des erreurs c'est probablement qu'il vous manque des paquets
sudo apt-get install libidn11 libidn11-dev libssl0.9.8 libssl-dev zlib1g zlin1g-dev

// Si l'installation se déroule bien vous obtenez ce message
See dictionaries/README-FIRST to pick a dictionary for the tool.

Having problems with your scans? Be sure to visit:
http://code.google.com/p/skipfish/wiki/KnownIssues

Une fois ceci fait, vous pouvez examiner la doc et surtout l’aide pour les différentes options.

Catégorie: Internet, Linux | Laisser un commentaire (1)

Chiffrer une clé USB avec TrueCrypt

Posté par seiyar81 le 12 novembre 2009 | Laisser un commentaire (0)
news-tc

La protection des données privées est un réel problème aujourd’hui. Trouver le parfait compromis entre un chiffrage de qualité, l’interopérabilité et la simplicité d’utilisation n’est pas toujours évident.
TrueCrypt nous offre tout ça ! C’est un logiciel de chiffrage open-source et surtout interopérable ! Il fonctionne sous Windows XP/Vista/7, Mac OS X et Linux.
Ainsi une partition chiffrée sous Linux est lisible sous Windows et vice-versa.
De plus TrueCrypt propose plusieurs algorithmes de chiffrement : AES-256, Twofish, Serpent.

Je vais expliquer ici comment chiffrer simplement une clé USB (notez bien que la démarche est la même avec une partition de disque dur.).
Tout d’abord il faut installer le logiciel si ce n’est déjà fait.

Télécharger TrueCrypt

Une fois installé vous arrivez sur une fenêtre ressemblant à ceci :

truecrypt-1

Cliquez sur “Create Volume”.

truecrypt-2

Sélectionnez la seconde option “Encrypt a non-system partition drive” puis ensuite “Standard TrueCrypt volume”.

truecrypt-3

Choisissez ensuite la partition à chiffrer. Ici notre clé USB.

truecrypt-4

Il est conseillé de sauvegarder les éventuelles données présentes sur la clé. En effet un formatage est nécessaire !

On choisit ensuite l’algorithme de chiffrement (ici AES-Twofish-Serpent couplé à un hash SHA-512), on vérifie la taille de la partition, et ensuite le mot de passe qui vous permettra de monter la clé.

truecrypt-6
truecrypt-7
truecrypt-8

Un petit message pour nous avertir de la suppression des données.

truecrypt-9

On peut ensuite lancer le formatage de la clé. La longueur de l’opération dépend de la taille de la clé, environ 1min pour la clé de 122 Mo.

truecrypt-10

Une petite message box pour nous dire que tout s’est bien passé puis on peut ensuite quitter l’assistant.

truecrypt-13
truecrypt-14

On est donc de retour sur la fenêtre principale de TrueCrypt et aucune partition n’apparaît…
C’est normal il nous reste à monter la clé. Pour cela cliquez sur une lettre de lecteur, je prend J la clé étant monté sur I par Windows. Ensuite sur “Auto-Mount Devices” et rentrez le mot de passe utilisé pendant l’installation. Si tout se passe bien vous devriez voir apparaître la clé aussi bien dans TrueCrypt que dans Windows (ou Linux ou Mac OS X).

truecrypt-15
truecrypt-16
truecrypt-17

Voilà c’est fini maintenant vous possédez une clé chiffrée à en faire pâlir votre voisin un agent du FBI !

Un petit conseil : ne perdez pas votre mot de passe.

Catégorie: Non classé | Laisser un commentaire (0)