Planète Warez

En bref :
(Résumé généré automatiquement par IA)

– Fini les galères Python : ce site transforme votre navigateur en arsenal d’espionnage numérique complet.
– Votre vie privée mise à nu en 3 clics : la plateforme qui révèle tout ce que vous cachez sur le web.
– Les journalistes et recruteurs ont trouvé leur arme secrète pour fouiller dans votre passé numérique.

Je vous ai déjà parlé de Maigret, de Sherlock , de Holehe ou de Toutatis … Mais si vous n’avez pas pris le temps de tester tout ça, ce n’est pas grave car vous allez pouvoir tous les essayer et faire votre meilleur OSINT grâce à OSINT.rocks .

OSINT.rocks est un site qui rassemble les outils d’investigation les plus puissants directement dans votre navigateur. Plus besoin d’installer Python, de configurer des environnements virtuels ou de galérer avec des dépendances. Vous ouvrez votre navigateur, vous tapez l’URL du site, et vous avez accès à une batterie d’outils prêts à l’emploi.

OSINT.rocks centralise tout. Vous avez Sherlock pour traquer les comptes utilisateurs sur les réseaux sociaux, Holehe pour découvrir où une adresse email est enregistrée, Hudson Rock pour vérifier si un email a été compromis par un info stealer, GHunt pour investiguer sur Google, et Maigret qui collecte un dossier complet sur une personne uniquement à partir d’un nom d’utilisateur.

La plateforme propose aussi des outils pour les numéros de téléphone et les recherches WHOIS. Vous entrez un numéro, vous obtenez des informations géolocalisées. Et si vous cherchez des détails sur un domaine, vous avez les enregistrements disponibles. Tout est centralisé, tout est rapide.

Comme ça, un journaliste qui enquête sur quelqu’un peut vérifier rapidement l’empreinte numérique d’une personne, un recruteur peut vérifier les informations d’un candidat, un chercheur en sécurité peut analyser l’exposition d’une cible ou un particulier peut vérifier ce qui traîne sur lui en ligne. L’OSINT, c’est utile dans plein de contextes !

Bref, si vous voulez tester Sherlock, Maigret, Holehe ou Hudson Rock sans vous prendre la tête avec l’installation, OSINT.rocks fait le job. Et si vous voulez aller encore plus loin, j’ai trouvé également une superbe boite à outils OSINT ici .

– Sources : osint.rocks

https://korben.info/osint-rocks-outils-investigation-navigateur.html

En bref :
(Résumé généré automatiquement par IA)

– Ce développeur suisse a démoli le business des formations cybersécurité à 5000€ avec un simple dépôt GitHub ouvert.

– Les hackers éthiques ont désormais leur bible complète : du piratage web aux objets connectés, tout est documenté.

– Un étudiant motivé peut maintenant maîtriser le pentesting en quelques mois grâce à cette révolution du savoir libre.

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

– Source :

https://korben.info/payloadsallthethings-bibliotheque-hackers-ethiques.html

@tanjerine a dit dans [Web Services] TempMail : un service de mail jetable sécurisé, votre rempart contre les spams et la surveillance numérique :

autrement une adresse poubelle sur gmail

Mon adresse principale sur gmail EST DEJA une poubelle :lol: Je n’y vais que pour effacer le bordel.

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

– Ces outils sont donc destinés aux professionnels de la sécurité pour :

Tester la sécurité de leurs propres systèmes Effectuer des audits autorisés Comprendre les vulnérabilités pour mieux s’en protéger Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

– Source :

https://korben.info/sploitus-google-exploits-outils-hacking.html

@Aerya a dit dans PDF24 :

Y’a aussi Stirling PDF

Je plussoie pour Stirling aussi…

Vous avez déjà rêvé d’avoir un œil en direct sur les confins de l’Univers ? Eh bien, accrochez-vous à vos souris, car j’ai déniché un site web qui va vous faire voyager à des années-lumière d’ici, le tout bien installé dans votre fauteuil.

Bienvenue sur Space Telescope Live, une plateforme qui vous permet de suivre en temps réel ce que les télescopes spatiaux James Webb et Hubble scrutent dans l’immensité cosmique.

Ce site donne accès aux données en direct de ce que chaque télescope est en train d’observer, c’est à dire les cibles actuelles, comment les données sont collectées, les heures de début et de fin d’observation, qui mène les recherches et surtout, pourquoi ces observations sont faites. Le site fournit même des informations détaillées sur la cible observée, comme sa position dans le ciel, sa distance par rapport à la Terre et les objectifs scientifiques de l’observation.

C’est une mine d’or pour les passionnés d’astronomie ! Pour info, les données proviennent directement du Space Telescope Science Institute à Baltimore, qui gère les opérations scientifiques des deux télescopes. Autant dire qu’on est à la source des données !

Mais Korben, le James Webb observe principalement en infrarouge, alors que Hubble couvre un plus large spectre, y compris la lumière visible !

… me diront les plus nerds d’entre vous…

Bien vu, mes petits padawans ! En effet, bien que les deux télescopes observent une large gamme de rayonnements électromagnétiques, le JWST est optimisé pour l’infrarouge, ce qui lui permet de découvrir des aspects invisibles de l’Univers. Mais sur le site, ça reste aussi bien que ce qu’on peut voir avec Hubble, si ce n’est mieux en terme de qualité.

En parlant de ça, je me suis demandé comment on pouvait avoir accès au graal ultime : utiliser soi-même le James Webb ! Alors, j’ai fouillé dans les méandres du net et désolé de casser vos rêves, mais c’est pas demain la veille qu’on pourra pointer le JWST vers notre étoile préférée puisque l’utilisation du télescope est réservée aux scientifiques et aux projets de recherche, qui ont été sélectionnés.

Bon, maintenant que je vous ai mis l’eau à la bouche, je vous donne l’adresse du site et je vous laisse explorer tout ça. Et n’oubliez pas, comme dirait l’autre :

Per aspera ad astra ,
Par des chemins ardus jusqu’aux étoiles.

Même si dans notre cas, on va plutôt dire :

Par un clic de souris jusqu’aux confins du cosmos »

– Source :

https://spacetelescopelive.org/

https://korben.info/explorer-univers-direct-telescopes-spatiaux-james-webb-hubble.html

–> Très sympa j’ai trouvé.

pas mal cette apli,merci @Violence

Pourquoi ils suppriment un truc bien, font chier

ImgToStl est un super service en ligne qui permet de convertir des images 2D en modèles 3D facilement et rapidement. Cet outil gratuit transforme ainsi vos images JPG ou PNG en fichiers STL 3D, parfait pour l’impression 3D ainsi que l’édition dans un logiciel 3D. Le processus est super simple, je vous explique tout !

Pour commencer, rendez-vous sur la plateforme ImgToStl, et cliquez sur le bouton « Upload a File » pour importer votre image. Veillez à ce que la taille de votre image ne dépasse pas 600 x 600 pixels, sinon elle sera redimensionnée automatiquement. Et si vous avez un compte premium, vous bénéficierez d’une taille maximale de 1000 x 1000 pixels.

Une fois votre image téléchargée, il vous suffit de suivre ces 3 étapes pour obtenir un fichier STL à partir de votre fichier JPG ou PNG :

Définissez les dimensions et les autres options selon vos préférences. Cliquez sur le bouton « Convert to STL » pour lancer la conversion. Téléchargez votre fichier STL nouvellement créé.

Le processus de conversion analysera alors chaque pixel de l’image en niveaux de gris et attribuera une hauteur en 3D en fonction de la luminosité. Je vous fais une petite analogie simple à comprendre : imaginez que chaque pixel corresponde à un monticule de sable sur une plage. Plus le pixel est lumineux, plus le monticule est élevé.

Trois modes sont disponibles lors de la conversion : le mode Standard, le mode Extrude Color, et le mode Extrude. Le mode Extrude Color fonctionne de la même manière que le mode Standard mais intègre également les informations de couleur pour créer un modèle 3D plus réaliste et détaillé.

Comme vous pouvez le voir, en mode standard, c’est tout un concept :

Mais en mode Extrude, on peut partir d’un simple dessin comme ceci :

Et arriver à un vrai objet comme ceci :

Pour les amateurs de jeux vidéo et les développeurs d’applications 3D, cet outil est une véritable aubaine. Les fichiers STL créés peuvent être utilisés pour l’impression 3D ou importés dans des logiciels d’édition de maillage 3D tels que Blender.

Alors, prêt à vous lancer dans la création de vos propres modèles 3D à partir d’images 2D ? C’est par ici !

https://imagetostl.com/

– Source :

https://korben.info/images-2d-modeles-3d-outil-imgtostl.html

Si vous êtes un adepte de la prise d’images pendant les manifestations o urassemblements, cet outil pourra peut-être vous sauver la vie. Il s’appelle Image Scrubber et permet non seulement de supprimer les métadonnées de vos photos, mais également de flouter les visages et autres informations sensibles. Dans cet article, je vais donc vous montrer comment tirer le meilleur de cet outil protéger votre vie privée en ligne.

Imaginons que vous soyez présent à une manifestation et que vous preniez la photo d’un groupe de personnes présentes. Il est possible que certaines d’entre elles ne souhaitent pas être identifiées. Grâce à Image Scrubber, vous pourrez maintenant anonymiser ces photos en quelques clics.

Voici comment faire

Allez sur le site d’Image Scrubber.

Cliquez sur « Ouvrir » pour sélectionner une photo à anonymiser.

Utilisez ensuite les outils pot de peinture et floutage pour masquer les visages ainsi que d’autres détails identifiables.

Puis sauvegardez l’image anonymisée en cliquant sur « Enregistrer ».

3992ba2e-9016-4587-80ae-3d95fbfaba75-image.png

Ces étapes simples vous permettront comme ça de partager vos photos de manifestation (ou autre) en préservant la vie privée de vos amis et d’autres participants.

L’une des choses les plus intéressantes à propos de Image Scrubber c’est qu’il fonctionne entièrement hors ligne. En effet, toute l’opération de traitement et d’anonymisation se fait directement dans votre navigateur. Comme ça, aucune donnée n’est stockée ou envoyée sur un serveur distant. Cela signifie que vous pouvez utiliser cet outil en toute sécurité, même si vous êtes à l’étranger et n’avez pas accès à une connexion Internet fiable.

Il existe plusieurs façons d’utiliser Image Scrubber hors ligne:

Vous pouvez charger la page sur votre téléphone, ajouter l’outil à l’écran d’accueil et activer le mode avion avant d’ouvrir des images. Ou télécharger le zip du projet sur le Github, le décompresser et ouvrir le fichier index.html dans votre navigateur

https://github.com/everestpipkin/image-scrubber

– Source

@Orphancia ca on va en bouffer de toute façon

A noter que Swiss Transfert c’est un produit d’Infomaniak un acteur suisse intéressant :
https://www.infomaniak.com/fr/