61 lines
2.3 KiB
Plaintext
61 lines
2.3 KiB
Plaintext
[ Une liste de ressources partagée par Théo Debauvais ]
|
|
|
|
XSS:
|
|
explication:
|
|
https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A7-Cross-Site_Scripting_(XSS)
|
|
https://www.acunetix.com/websitesecurity/xss/
|
|
défense:
|
|
|
|
site pour s'entrainer (que des DOM-XSS et client-side XSS): https://xss.pwnfunction.com/
|
|
|
|
Injection SQL:
|
|
explication:
|
|
explication:
|
|
https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A1-Injection
|
|
https://owasp.org/www-community/attacks/SQL_Injection
|
|
https://www.w3schools.com/sql/sql_injection.asp
|
|
défense:
|
|
https://www.php.net/manual/en/mysqli.real-escape-string.php ou une fonction similaire en fonction du language que vous utilisez
|
|
Preparez vos requests, ou echappez les entrée comme ci-dessus
|
|
Programme pour tester automatiquement : http://sqlmap.org/
|
|
|
|
Local File Inclusion (LFI) / Remote File Inclusion (RFI):
|
|
https://en.wikipedia.org/wiki/File_inclusion_vulnerability
|
|
|
|
CSRF:
|
|
explication:
|
|
https://portswigger.net/web-security/csrf
|
|
https://owasp.org/www-community/attacks/csrf
|
|
défense:
|
|
https://thisinterestsme.com/php-csrf-protection/ , surtout le principe utilisé
|
|
|
|
OS injection:
|
|
explication:
|
|
https://portswigger.net/web-security/os-command-injection
|
|
https://owasp.org/www-community/attacks/Command_Injection
|
|
défense:
|
|
|
|
|
|
Pourquoi il ne faut pas essayer de cacher des fichiers sur un serveur http:
|
|
https://github.com/OJ/gobuster
|
|
https://tools.kali.org/web-applications/dirbuster
|
|
https://tools.kali.org/web-applications/dirb
|
|
|
|
Liste de vulnérabilitées (PortSwigger est une référence avec OWASP, ils développent https://tools.kali.org/web-applications/burpsuite, download=https://portswigger.net/burp):
|
|
https://portswigger.net/web-security/all-materials
|
|
|
|
Liste des failles web les plus connues (référence):
|
|
https://owasp.org/www-project-top-ten/
|
|
|
|
Applications vulnérables pour s'entrainer:
|
|
http://www.dvwa.co.uk/
|
|
http://itsecgames.com/
|
|
|
|
Site connus pour apprendre et s'entrainer (très axé sur le pentest, moins sur la défense):
|
|
https://www.root-me.org/
|
|
https://www.hackthebox.eu/
|
|
https://tryhackme.com/
|
|
|
|
Lectures de Stanford sur la sécurité web (très récent: commence en septembre 2019; très bon et explique plein d'autres failles et sujets sur la sécurité web):
|
|
https://www.youtube.com/watch?v=5JJrJGZ_LjM&list=PLMF2PpA06Sb26oYT-dfNOt3Y4wwoLAho0
|