Discussion :

[thais781]

Bonjour,

Je cherche a apprendre le hacking ethique ... je ne suis pas une pirate :-)
J'ai trouv� un petit site avec un acces en API que je vais utiliser pour cet apprentissage.

Avez vous des sites, forum, chaine youtube ou autre a me conseiller pour cette decouverte ?
Je voudrais le faire en python d'ou le post dans ce forum mais je peux transferer si besoin ...

Merci pour votre aide ....

Thais

[papajoker]

bonjour

J'ai trouv� un petit site avec un acces en API que je vais utiliser pour cet apprentissage.

Si c'est pour "forcer" un acc�s � une api, le plus simple pour apprentissage c'est d'installer une api (web) s�curis�e sur notre poste

a me conseiller pour cette decouverte ?

Mot beaucoup trop vague et g�n�ralement coder en python n'est pas n�cessaire : g�n�ralement c'est surtout maitriser les technos r�seau
ce site avec une tonne de ressources.

[Sve@r]

Bonjour

... je ne suis pas une pirate :-)
J'ai trouv� un petit site avec un acces en API que je vais utiliser pour cet apprentissage.

"oui j'ai braqu� la banque mais je ne suis pas un braqueur"...
Il ne suffit pas de dire "je ne suis pas une pirate" pour ne pas l'�tre. Parce que si tu attaques un site sans son accord, �a devient de la piraterie m�me si tu dis le contraire...

[binarygirl]

Oui, conna�tre les r�seaux est utile et bien d'autres choses comme le SQL, pour comprendre les injections SQL par exemple.
Savoir programmer est un atout, je dirais m�me une n�cessit�, car �a permet de comprendre comment l'outil est construit et o� les failles peuvent se situer. On peut se mettre dans la t�te du programmeur.
Par exemple, sachant qu'un programmeur est souvent fain�ant, on peut partir du principe que tel ou tel champ cach� (ou combo list) dans un formulaire n'est peut-�tre pas valid� avec autant de rigueur que les autres champs... et on peut alors se concentrer sur les endroits o� la probabilit� de trouver un point faible est statistiquement un peu plus �lev�e. Les injections SQL existent encore, de moins en moins, mais il y a beaucoup de vieux code qui est toujours en production...

La s�curit� est un domaine vaste, par exemple la s�curit� des API et des applications web en g�n�ral est un domaine parmi d'autres. Dans ce cas pr�cis l'id�al serait d'avoir une exp�rience en tant que d�veloppeur front-end et back-end, d'avoir travaill� avec du JSON ou Graphql etc. Ou bien on soup�onne que le site utilise des fonctions de s�rialisation, alors c'est un angle qu'on peut tenter d'exploiter. Le fait de conna�tre les outils et technologies en place sur la cible permet de mieux cibler les tentatives de hack.

En pratique on utilise beaucoup d'outils automatis�s pour tester et d�broussailler le terrain, et puis des tests manuels pour exploiter les failles potentielles. Parfois, on cr�e un PoC en langage Python, Perl ou autre pour injecter un payload pr�cis en faisant une requ�te pr�cise sur le serveur. Cela permet de reproduire l'attaque et valider la d�marche. C'est un d�livrable qu'on peut inclure dans le rapport de test d'intrusion.
Mais la part de programmation proprement dite dans ce genre d'exercice est r�duite.

Pour se faire la main il y a des sites comme rootme d�j� cit�, et aussi des VM vuln�rables pour s'exercer en toute l�galit�. Un test d'intrusion sauvage sans le consentement pr�alable de la cible est un d�lit �videmment.
Happy hacking.

[VinsS]

Salut,

Regarde de ce c�t�-ci: https://www.quora.com/Can-Python-be-...361&srid=aMsux , son auteur participe au d�veloppement du language Python.

Puis tu peux aussi regarder du c�t� de Kali Linux : https://www.kali.org/ , ils proposent de la doc qui permet de se mettre le pied � l'�trier.

[jurassic pork]

Hello,
notre ami (ou ennemi ) ChatGPT nous donne une petite le�on de morale :

La piraterie �thique, �galement connue sous le nom de "hacking �thique" ou "s�curit� informatique �thique", est une pratique l�gale qui consiste � identifier les vuln�rabilit�s des syst�mes informatiques et des r�seaux dans le but d'am�liorer leur s�curit�. Python est un langage de programmation populaire utilis� dans de nombreux domaines, y compris la s�curit� informatique.Si vous souhaitez utiliser Python pour des activit�s de piratage �thique, vous devez suivre certaines lignes directrices et respecter les lois et les r�gles �thiques. Voici quelques �tapes g�n�rales que vous pouvez suivre pour vous engager dans le piratage �thique en utilisant Python :

1. �tudiez et comprenez les concepts de base de la s�curit� informatique : Familiarisez-vous avec les principaux concepts de la s�curit� informatique, tels que les vuln�rabilit�s, les attaques courantes, les protocoles r�seau, etc.
2. Apprenez Python : Python est un langage de programmation polyvalent. Assurez-vous de ma�triser les concepts fondamentaux de Python, tels que les boucles, les conditions, les fonctions, les biblioth�ques et les modules pertinents pour la s�curit� informatique.
3. �tudiez les outils et les biblioth�ques de s�curit� : Explorez les biblioth�ques Python d�di�es � la s�curit�, comme Scapy, Requests, BeautifulSoup, Paramiko, etc. Ces biblioth�ques peuvent vous aider � effectuer des t�ches sp�cifiques li�es � la s�curit� informatique.
4. Obtenez les autorisations appropri�es : Assurez-vous d'obtenir les autorisations n�cessaires avant de tester la s�curit� d'un syst�me ou d'un r�seau. Travailler sur des syst�mes sans autorisation appropri�e peut �tre ill�gal et peut avoir des cons�quences graves.
5. Utilisez des plateformes de s�curit� l�gales : Si vous souhaitez pratiquer la s�curit� informatique �thique, de nombreuses plateformes l�gales existent, comme les plateformes de bug bounty, qui vous permettent de tester la s�curit� des syst�mes avec la permission des propri�taires.
6. Respectez les limites et les lois : Lors de la r�alisation de tests de s�curit�, respectez les limites fix�es par les propri�taires des syst�mes. Assurez-vous �galement de conna�tre les lois et r�glementations en vigueur dans votre pays concernant les tests de s�curit� informatique.
7. Participez � des formations et certifications : Pour approfondir vos connaissances en mati�re de s�curit� informatique �thique, envisagez de suivre des formations sp�cialis�es ou d'obtenir des certifications reconnues dans le domaine.

Rappelez-vous toujours que le piratage �thique doit �tre pratiqu� dans le respect des lois et de l'�thique. L'utilisation inappropri�e de ces connaissances peut avoir des cons�quences l�gales et �thiques graves.

[wiztricks]

notre ami (ou ennemi ) ChatGPT nous donne une petite le�on de morale :

La morale est ce qui permet de/vise � s'"�lever" (devenir meilleur) en tant qu'individu.
La loi (et le droit) d�finissent les r�gles du vivre ensemble: on est dans le social pas dans l'individu.

A partir du moment ou je me balade sur internet, je cohabite avec d'autres et les r�gles/lois sont sociales pas morales.

- W