Un grand merci à Alexandre GUY pour sa présentation
Après une définition du hacking et un rappel du contexte réglementaire, le conférencier a présenté différents types d'attaques. Stack-based buffer overflow, heap-based, buffer overflow, injection de commandes, XSS, CSRF ... les principes de ces techniques ont été explicités.
Le conférencier a pu également présenter quelques outils et plusieurs méthodologies de test d'intrusion. Parmi les plus connues: PTES, OSSM ... L’intérêt de l'approche Red team / Blue team a également été débattu.
Enfin, la présentation s'est terminée par une démonstration. Suite à la prise de contrôle d'un serveur Linux, un poste windows a été compromis à l'aide du framwork metasploit et de la vulnérabilité EternalBlue.
Le support de la présentation, accessible pour les membres, est accessible ici.
Quelques liens utiles pour ceux qui souhaiteraient s’entraîner :
https://pentesterlab.com/ un site proposant des exercices avec corrections et plusieurs niveaux de difficultés
https://www.root-me.org/ une plateforme ludique où il faut passer de niveau en niveau
https://w3challs.com/ propose une plateforme d’entraînement
OWASP Multillidae Exemples d'applications vulnérables pour les tests d'intrusions web
Le conférencier:
« Passionné d’informatique depuis son plus jeune âge, ingénieur maître en Systèmes de Télécommunications et Réseaux Informatiques (STRI Toulouse), Alexandre GUY a travaillé pour un fournisseur d’accès à Internet situé au Luxembourg spécialisé dans les interconnexions des banques et assurances avec Internet. Durant cette période, il a acquis son expérience en sécurité informatique. Depuis 2002, il est installé à son compte (entreprise Euronode) et propose ses services autour de différentes thématiques liées à l’informatique, aux réseaux et à la sécurité. Ses missions l’ont conduit naturellement à dispenser des formations afin de transmettre son savoir et son expérience. En 2017, il a créé la société API Society pour se spécialiser dans la sécurité offensive et proposer des missions de pentesting.
Retour sur la conférence ethical hacking