IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Black Hat : Google et Bing détournés
Pour automatiser la recherche de failles dans les sites web, 2300 requêtes rendues publiques

Le , par Idelways

211PARTAGES

0  0 
Connaissez-vous le « Search Engines Hacking » ?

Comme son nom l'indique, il s'agit de l'utilisation des moteurs de recherche et de leurs fonctions avancées dans un cadre de hacking et de recherche de failles. La technique consiste donc à utiliser Google ou Bing (ou un autre) pour localiser, à l'aide de requêtes spécialisées, des vulnérabilités sur les sites web.

Durant la conférence de sécurité Black Hat par les chercheurs Bob Regan et Francis Brown de chez Stach & Liu Security, un nouvel outil destiné à munir les entreprises d'un système d'alerte rapide pour identifier les failles de sécurité et les fuites d'informations a été présenté.

Il embarque les projets BingDiggity et GoogleDiggity.

GoogleDiggity est à l'origine issue des travaux du chercheur Johnny Long, dit « I Hack Stuff », qui avait créé en 2004 une base de données de requêtes de Google pouvant être utilisées pour détecter des failles de sécurité potentielles.

Bob Regan et Francis Brown ont construit, suivant le même concept, une base de données destinée à Bing, le moteur de Microsoft : le BingDiggity projet.

Les deux jumelés constituent une base de données de 2300 requêtes qui s'appuie sur les systèmes de suivi de Google et de Bing et qui alertent les utilisateurs par email ou Flux RSS quand de nouveaux résultats apparaissent pour des mots clefs donnés.

Ce système est déjà publié sur le site de la firme en tant que simple fichier OPML (dialecte XML) et pourra être importé dans n'importe quel agrégateur de Flux RSS.

Un Gadget de bureau sera publié par la suite pour permettre aux entreprises de personnaliser la gestion des alertes.

Une solution qui sera d'une grande utilité aux entreprises conscientes des risques encourues sur le Web.

Mais il pourrait également s'agir d'un outil de plus dans les mains des « scripts-kiddies ». Voire une arme de pirates.

Sources :

Google Diggity
Bing Diggity
Les deux bases de données combinées

Site de Stach & Liu Security

Lire aussi :

Google investit avec la CIA dans une société d'analyse prédictive : le renseignement, nouvelle activité de Google ?

Google veut réinventer les règles de divulgation des failles avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?

Les rubriques (actu, forums, tutos) de Développez :

Solutions d'entreprises
Sécurité
Développement Web

Et vous ?

Utilisez-vous le Search Engines Hacking ?
Cette technique vous aidera-elle à trouver des failles de sécurité ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de eldran64
Membre extrêmement actif https://www.developpez.com
Le 03/08/2010 à 11:55
"Mais il pourrait également s'agir d'un outil de plus dans les mains des « scripts-kiddies », voire de pirates malintentionnés."

Il y a un lapsus dans la phrase "pirates malintentionnés". En effet un pirate n'est pas un mec sympa essayant juste d'améliorer ses compétences. C'est un gangster du net. Donc pirate=malintentionné.
0  0 
Avatar de Népomucène
Modérateur https://www.developpez.com
Le 03/08/2010 à 12:10
Il y a un lapsus
C'est en fait une tautologie
0  0 
Avatar de tenpigs
Membre habitué https://www.developpez.com
Le 03/08/2010 à 14:02
Citation Envoyé par Népomucène Voir le message
C'est en fait une tautologie
j'aurai dit pléonasme http://fr.wikipedia.org/wiki/Pl%C3%A9onasme
0  0 
Avatar de bombseb
Membre expérimenté https://www.developpez.com
Le 03/08/2010 à 14:08
interressant ce topic

0  0 
Avatar de Népomucène
Modérateur https://www.developpez.com
Le 03/08/2010 à 16:16
Si on compare tautologie et pléonasme dans Wikipédia, la différence est certes bien subtile
0  0 
Avatar de chemanel
Membre confirmé https://www.developpez.com
Le 03/08/2010 à 16:25
On ne dit plus "hacker" ou "pirate", maintenant on dit, "expert en sécurité informatique".

Arretons avec la discrimination !
0  0 
Avatar de Lyche
Expert éminent https://www.developpez.com
Le 03/08/2010 à 16:44
Citation Envoyé par chemanel Voir le message
On ne dit plus "hacker" ou "pirate", maintenant on dit, "expert en sécurité informatique".

Arretons avec la discrimination !
Exacte, pourquoi on dirait plus caissière et qu'on devrait dire Hacker, c'est vraiment mal juger ces pauvres petits hacker et les rendre plus méchants qu'ils ne sont vraiment

Citation Envoyé par tenpigs Voir le message
Le pléonasme n'a pas la même définition que l'utilisation qu'il en a fait, j'aurais plutôt dit une Lapalissade qui est l'insistance par la répétition (mais je suis pas expert )
0  0 
Avatar de pi-2r
Rédacteur https://www.developpez.com
Le 04/08/2010 à 20:14
Bonjour,

les conférences du Black-hat sont toujours aussi intéressantes, au meme titre que le Defcon et le Chaos Computer Club
Citation Envoyé par Idelways Voir le message

Mais il pourrait également s'agir d'un outil de plus dans les mains des « scripts-kiddies ». Voire une arme de pirates.
Vers 2007-2008, des experts en sécurité avaient mis au point un programme en python permettant de trouver des backdoors sur les sites (C99, r57, ...).
Peu de temps après il fut détourné de son but initial et utilisé à des fins néfaste par des pirates...

Il risque de se produire la même chose avec ce nouvel outils
0  0