Hackingtool : un script Python Open Source regroupant plus de 700 outils d'audit de cybersécu et tests d'intrusion.
Installation en docker, ou sur Archlinux ou Kali (dans un venv)
Cette plateforme vous propose de rejouer les épreuves du France Cybersecurity Challenge tout au long de l'année dans le but de découvrir et de vous former à divers domaines de la cybersécurité.
fichiers polyglottes, fichiers schizophrènes :-)
Binary tricks to evade identification, detection, to exploit encryption and hash collisions.
article sur cette étude (avec des liens dedans)
http://www.zdnet.fr/blogs/infra-net/d-inquietantes-failles-de-securite-dans-les-acces-fibre-optique-ftth-en-france-39844258.htm
Réseaux : Selon un expert en sécurité, les accès Internet en fibre optique FTTH des opérateurs français en technologie GPON présenteraient d’inquiétantes failles de sécurité permettant d’usurper des adresses IP.
How to run Linux on your hard disk firmware
The TP-Link HS110 Wi-Fi is a cloud-enabled power plug that can be turned on and off remotely via app and offers energy monitoring and scheduling capabilities. As part of ongoing research into Internet of Things security, we performed a security analysis by reverse engineering the device firmware and Android app, sniffing app-to-device and device-to-app communications and fuzzing the proprietary protocols being used.
TP-Link WiFi SmartPlug Client and Wireshark Dissector
https://github.com/softScheck/tplink-smartplug
Fork pour récupérer les données de consommation et les injecter dans Domoticz
https://github.com/ajay10000/TP-Link-HS110
Jolie vidéo de démo du trafic réseau à l'installation et l'utilisation TP Link HS110 Smart Plug Deep Dive
Wifi Hacking Tools Collection
https://w1f1.net/
doc: http://www.synacktiv.fr/ressources/HackLu2016-Intercoms_Hacking_presentation.pdf
et voir ressources (actif et divers) http://www.synacktiv.fr/fr/ressources.html
A Story About TP-link Device Debug Protocol (TDDP) Research
A few months back I (finally) tried to get started into bug bounties. The bounty I chose for this first try consisted of a set of different security products. The vendor was offering for this purpose online web instances with testing accounts, but after some digging I realized that those...
The Cross-site scripting (XSS) game by @Google
via https://twitter.com/therealskildust/status/801519151575605252
via https://twitter.com/bearstech/status/782112364833411073
In a paper they released earlier this month titled “Stealing Machine Learning Models via Prediction APIs,” a team of computer scientists at Cornell Tech, the Swiss institute EPFL in Lausanne, and the University of North Carolina detail how they were able to reverse engineer machine learning-trained AIs based only on sending them queries and analyzing the responses.
Paper here: https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/tramer
de Stéphane Bortzmeyer: Exposé sur la sécurité d'IPv6 à l'ESGI
Bogues. Exemple : envoyer un RA avec beaucoup de
préfixes listés tue Mac OS X, dont les programmeurs ne
connaissaient pas la notion de dépassement de tableau
Cette semaine, j'ai eu le plaisir de suivre le cours « Hacking IPv6 » de Fernando Gont lors de Hack in Paris à Disneyland. C'est l'occasion de partager quelques-unes de mes notes de cours.
TLDR: Sometimes you just need to spend a couple of months to exploit a XSS with a hygiene product.