Metasploit est une bonne plateforme pour quiconque souhaite tester des failles de sécurité ou réaliser des « exploits » mais il n’est pas simple de l’utiliser et beaucoup se retrouvent vite perdu lorsqu’ils essayent de pousser un peu plus la chose.

Pour vous aider dans votre apprentissage, je vous ai trouvé quelques liens sympa avec des tutoriels et des vidéos expliquant les principes de bases de Metasploit.

Tout d’abord, un bon tuto vidéo de chez IronGeek vous montrera (même si vous ne parlez pas anglais), ce qu’il faut faire étape par étape pour utiliser. Ce tuto aborde l’utilisation de Metasploit à partir du Live CD Auditor pour compromettre un Windows XP non patché via la faille RPC DOM.

Metasploit chez IronGeek

Ce doc est une présentation par HD Moore lui-même au CanSecWest 2006:csw06-moore.pdf

Et voici quelques vidéos :

Computer defense – TASK Presentation

Les vidéos les plus à jour pour Metasploit 3 sont dispo ici :

Découvrez Metasploit 3 et sa nouvelle interface web – Partie 1
Découvrez Metasploit 3 et sa nouvelle interface web – Partie 2

N’oubliez pas le site de Metasploit qui regorge d’exemples et de doc :

http://framework.metasploit.com/msf/support

Le bouquin (wiki) en ligne « Comment utiliser Metasploit » est aussi pratique à avoir dans ses bookmarks :

Utiliser Metasploit

Le site SecurityFocus a aussi publié 2 bons articles qui sont aussi une bonne référence (même si ils commencent à dater un peu) :

Metasploit Framework, Partie 1
Metasploit Framework, Partie 2

A vous de jouer maintenant ! Et si vous avez ce genre de ressources en français, n’hésitez pas à le signaler !

Voici une petite astuce qui pourra servir.

Lors de l’intégration de Google Map dans une DIV de type Thickbox (version 3), il y a de fortes chances pour que celle-ci ne soit pas centrée ou pire qu’elle ne se charge pas en entier…

Pas cool.

Pour résoudre ce bug, rien de plus simple. Editez le fichier Thickbox.js et commentez les 2 lignes comme dans l’exemple (aux alentours de la ligne 223:


}else if(url.indexOf('TB_iframe') != -1){
tb_position();
//if(frames['TB_iframeContent'] === undefined){//be nice to safari
$("#TB_load").remove();
$("#TB_window").css({display:"block"});
$(document).keyup( function(e){ var key = e.keyCode; if(key == 27){tb_remove();}});
//}
}else{


Si quelqu’un sait quelle truc il faut faire pour résoudre ce même bug mais pour la version compressée thickbox-compressed.js, je suis preneur !

Des gens de chez Security Evaluator (expert en sécurité informatique) vont prochainement présenter au BlackHat 2007 un proof of concept d’attaque d’Iphone.
En gros, en allant sur un site malveillant avec votre Iphone, celui-ci exécute un code via Safari qui donne au script les droits admin et qui permet d’envoyer vers le serveur pas mal d’infos dispo sur votre Iphone comme par exemple les SMS, le carnet d’adresse, l’historique des appels etc etc…

On peut aussi envisager la possibilité que le script s’amuse à appeler quelques petits numéros surtaxés à votre insu ou alors qu’il enregistre vos conversations (et les envoi au hacker)

Délire quoi 🙂

+ d’info ici.

Vous vous souvenez de cette expérience du Coca Cola avec les mentos ?

Et bien voici un d’jeuns qui tente le tout pour le tout avec une bière !

Firefox est un bon navigateur car il est quand même un peu plus sécurisé que les autres, mais il possède un gros défaut !

Il s’agit de la popup qui vous demande si vous voulez restaurer votre dernière session . Si vous acceptez, cela re-ouvrira tous les onglets que vous visitiez avant de quitter firefox.

Pratique lorsque ça plante. Pas pratique lorsque vous n’êtes pas seul à utiliser Firefox ! Comment faire alors pour empêcher complêtement cela ?

• Dans la barre d’adresse de Firefox tapez about:config et faites entrer.
• Cherchez (et trouvez !) la ligne qui s’appelle browser.sessionstore.enabled
• Faite un clic droit dessus et passez la valeur à False
• Relancez Firefox.

Et c’est tout ! Si vous voulez réactiver la chose, il suffit de remettre cette valeur à True.

Cool non ?