Reconnaissance_web

Listes des attaques : https://github.com/qazbnm456/awesome-web-security

Listes des attaques CMS : https://github.com/Ignitetechnologies/Web-Application-Cheatsheet

Processus que JE recommande lorsqu’on trouve une interface web :

  1. check /robots.txt (possiblement changer son user-agent)
  2. check /sitemap.xml
  3. CTR + U pour voir le code source
  4. Check des JS et CSS
  5. Dirbuster (/usr/share/dirbuster/wordlists/)
  6. Dirb (/usr/share/dirb/wordlists/common.txt)
  7. Si répertoire CGI-BIN trouvé avec dirb/dirbuster, il faut rechercher si il existe des scripts exécutable (.sh, pl, .c, …) dans ce répertoire (ex : dirb http://10.10.10.56/cgi-bin -X .sh)

Astuce :  Créer un serveur HTTP en 10 secondes sur Ubuntu grâce à Python

Il suffit d’aller dans le répertoire à partager et d’exécuter :

$ python -m SimpleHTTPServer 8000

Le répertoire sera accessible à http://localhost:8000.

Par défaut, le port 8000 est utilisé, mais on peut le changer :

$ python -m SimpleHTTPServer 1234

Pour les ports inférieurs à 1024, il faut être root :

$ sudo python -m SimpleHTTPServer 80

Si le port correspondant est ouvert sur le routeur, il sera également accessible de l’extérieur. Pratique pour partager rapidement du contenu…

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s