Securite on vonKrafft

Gérer ses mots de passe avec PGP

Wed, 18 Jul 2018 23:40:17 +0000

Si de nouvelles méthodes d’authentification font peu à peu leur apparition, les mots de passe sont encore largement utilisés. J’évoquais déjà dans mon article sur les bonnes pratiques en matière de mot de passe comment stocker convenablement les mots de passe sur un serveur de base de données. Mais nos identifiants ont beau bénéficier de la meilleure protection possible en termes de stockage sur ces serveurs, cela n’empêchera pas l’utilisateur de choisir un mot de passe faible ou de le stocker en clair sur son ordinateur …

PGP : Générer des clés et configurer une Yubikey

Fri, 22 Jun 2018 18:07:17 +0000

Ayant récemment acquis une Yubikey NEO, j’ai souhaité me créer de (nouvelles) clés GPG, les stocker sur ma Yubikey et configurer l’authentification SSH pour utiliser la clé présente sur la Yubikey. Après avoir lu pas mal d’articles et croisé les différentes sources qui étaient parfois incomplètes ou dédiées à d’autres environnement UNIX, je suis enfin parvenu à configurer ma clé. Je regroupe ici les différentes étapes qui m’ont permis d’y arriver (on ne sait jamais, ça pourra servir à d’autres, ou me resservir si je dois configurer un nouveau PC ou reformater ma Yubikey).

Exploiter un ".git" accessible sur un site Web

Wed, 15 Mar 2017 12:43:46 +0000

Récemment, je suis intervenu sur un serveur web qui s’était fait compromettre. J’ai donc cherché à savoir quelle avait été la porte d’entrée sur le serveur. C’était assez folklorique : chmod 777 sur le webroot, une flopée de SQLi, des webshell à la pelle, des configs Apache et MySQL très laxistes et surtout un répertoire .git avec du directory listing …