Faille MySQL : identification sans mot de passe

Une nouvelle faille a été découverte ce mois ci au niveau de la base de Données MySQL, au niveau des version 5.1.61, 5.2.11, 5.3.5 et 5.5.22 : elle permet de se connecter à un compte utilisateur sans en avoir le mot de passe.
Le principe est simple : on boucle sur l’identification et au bout de plusieurs centaines de fois, la fonction MySQL memcmp bug et autorise l’identification même sans avoir le bon mot de passe.

Comment tester si votre serveur mysql est sujet à ce hack?

Taper dans une console les lignes de code suivantes :

$ for i in `seq 1 1000`; do mysql -u root –password=bad -h 127.0.0.1 2>/dev/null; done

Lire la Suite →

Pishing free : « Votre Ligne téléphonique a été coupée »

Je parle beaucoup de free en ce moment mais ce pishing mail (mail de free qui n’est pas d’eux et qui n’a que pour but de vous soutirer vos identifiants ou vos codes de CB) parait quand même assez vrai, à part une belle faute « …sinon sa traduira … »

Ne vous laissez pas avoir par l’objet du mail qui peut faire peur à première vue.

N’hésitez pas à soumettre tous les sites que vous trouvez frauduleux sur pishing initiative, ça prend 30 secondes et ça aidera beaucoup d’internautes.

Faux mail de free redirigeant vers un faux site de free (pishing free)

Surtout n’indiquez aucune information sur le site, c’est un faux!

Zataz TV : 1er épisode

Le site zataz.com lance Zataz TV : Sécurité informatique et vie privée sur le web sont les thèmes de cette web TV de 3 minutes qui sera publiée tous les weekends.

Au sommaire :

Les anonymous (pirates informatiques)
Système biométrique sur Iphone (bientôt Android)
Code source de l’antivirus Symantec publié sur le web
Le gouvernement turque subit une attaque de pirates
La solution de sécurité Panda Security victime des AntiSec Lire la Suite →

Pishing CAF sur webdesignersite.net

Attention, il y a apparemment une tentative de pishing du site de la CAF (Caisse d’allocations Familliales) sur webdesignersite.net.

Le design identique au site de la CAF vous demande d’enregistrer vos coordonnées bancaires pour ‘vérification d’identité’.
Le formulaire est posté sur la page tapetwo.php qui vous redirige ensuite sur le vrai site www.caf.fr.

Ne rentrez surtout pas vos informations bancaires sur webdesignersite.net, c’est apparemment un faux site qui ne sert qu’à récupérer des coordonnées bancaires.

Aperçu pishing CAF sur http://webdesignersite.net

Lire la Suite →

exploit-db.com : base de données d’exploits et de vulnérabilités online et software

exploit-db.com est une archive complète d’exploits et logiciels vulnérables.
Une excellente ressource pour les testeurs en pénétration, les chercheurs en vulnérabilité et en sécurité.
Leur objectif est de collecter des exploits et de les cenraliser.

http://www.exploit-db.com/

Les 25 mots de passe à ne jamais utiliser

SplashData a réalisé une étude sur plusieurs millions de mots de passe volés, mis en ligne par les pirates.
Voici la liste des 25 mots de passe les plus répandus :

1. password
2. 123456
3.12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon Lire la Suite →

Créer une attaque par deni de service (en utilisant une faille SSL)

A utiliser sur vos serveurs, pour tester comment réagit votre architecture.
Avec THC-SSL-DOS et une simple connection ADSL, vous exploitez une faille SSL qui va faire monter en flèche le load de vos serveurs.

La faille se situe au niveau de la renégociation SSL qui est activée sur de nombreux serveurs. L’outil exploite le fait qu’une négociation de session SSL demande quinze fois plus de puissance au serveur qu’au client. Cette différence est encore plus importante lors du traitement des renégociations SSL.

Le groupe de Hackers THC (The Hacker’s Choice) a utilisé cette asymétrie ainsi que la capacité à renégocier une session SSL. THC-SSL-DOS génère donc de milliers de renégociations pour surcharger le serveur via une simple connexion internet

Lire la Suite →