Les chasseurs de bugs et les experts en sécurité web sont toujours à la recherche d’outils pour optimiser leur boulot et dénicher des vulnérabilités et justement, il y a un nouveau venu qui risque bien de faire parler de lui : WebCopilot !

Open source, cet outil d’automatisation combine les fonctionnalités de dizaines d’autres outils réputés comme Subfinder, Nuclei, Amass ou encore SQLMap histoire de vous faire gagner un temps précieux en prenant en charge de A à Z les tâches répétitives et chronophages de l’énumération des sous-domaines, du filtrage des paramètres à risque et du scan des vulnérabilités les plus critiques.

Pour cela, il suffit de lancer WebCopilot sur un domaine cible et il s’occupe de tout :

• Énumération des sous-domaines via une batterie d’outils (Assetfinder, Sublist3r, Amass, Findomain…)
• Crawl de tous les endpoints des sous-domaines identifiés
• Filtrage des paramètres potentiellement vulnérables aux failles XSS, SQLi, LFI, SSRF, Open Redirect… grâce aux patterns de l’outil gf
• Et enfin, scan des vulnérabilités via des outils comme Nuclei, Dalfox, kxss, SQLMap ou crlfuzz

Vous obtiendrez ensuite un rapport complet qui répertoriera tous les points d’entrée intéressants.

             
                                ──────▄▀▄─────▄▀▄
                                ─────▄█░░▀▀▀▀▀░░█▄
                                ─▄▄──█░░░░░░░░░░░█──▄▄
                                █▄▄█─█░░▀░░┬░░▀░░█─█▄▄█
 ██╗░░░░░░░██╗███████╗██████╗░░█████╗░░█████╗░██████╗░██╗██╗░░░░░░█████╗░████████╗
░██║░░██╗░░██║██╔════╝██╔══██╗██╔══██╗██╔══██╗██╔══██╗██║██║░░░░░██╔══██╗╚══██╔══╝
░╚██╗████╗██╔╝█████╗░░██████╦╝██║░░╚═╝██║░░██║██████╔╝██║██║░░░░░██║░░██║░░░██║░░░
░░████╔═████║░██╔══╝░░██╔══██╗██║░░██╗██║░░██║██╔═══╝░██║██║░░░░░██║░░██║░░░██║░░░
░░╚██╔╝░╚██╔╝░███████╗██████╦╝╚█████╔╝╚█████╔╝██║░░░░░██║███████╗╚█████╔╝░░░██║░░░
░░░╚═╝░░░╚═╝░░╚══════╝╚═════╝░░╚════╝░░╚════╝░╚═╝░░░░░╚═╝╚══════╝░╚════╝░░░░╚═╝░░░
                                                      [●] @h4r5h1t.hrs | G!2m0

Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]

Flags:  
  -d        Add your target [Requried]
  -o        To save outputs in folder [Default: domain.com]
  -t        Number of threads [Default: 100]
  -b        Add your server for BXSS [Default: False]
  -x        Exclude out of scope domains [Default: False]
  -s        Run only Subdomain Enumeration [Default: False]
  -h        Show this help message

Example: webcopilot  -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your server

Fini les heures passées à lancer des dizaines de commandes et à corréler les résultats comme ça, vous pourrez vous concentrer sur l’analyse des vulnérabilités.

Côté utilisation, c’est ultra simple. Il suffit de cloner le repo Github, d’installer les dépendances…

git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh

…et vous pouvez lancer des scans en une seule commande :

webcopilot -d domain.com -o rapport

Et si vous voulez pousser la configuration plus loin, pas de problème ! WebCopilot propose tout un tas d’options bien pratiques comme :

• -s pour ne faire que de l’énumération de sous-domaines
• -x pour exclure certains domaines du scan
• -b pour spécifier un serveur « blind XSS » externe
• -t pour régler le nombre de threads et accélérer les scans

Bref, c’est l’outil pratique pour industrialiser encore un peu plus votre processus de bug bounty.

A découvrir ici !

J’espère que vous êtes bien installés dans votre cockpit, parce que GitHub nous a reservé une sacrée surprise : Copilot Workspace, un environnement de développement nouvelle génération entièrement propulsé par l’IA.

Vous connaissez sûrement déjà GitHub Copilot, ce fidèle acolyte qui nous assiste depuis l’année dernière en nous soufflant des suggestions de code directement dans votre IDE, et bien avec Copilot Workspace, GitHub veut carrément révolutionner la façon de concevoir des logiciels.

L’idée est simple : vous exprimez ce que vous voulez faire en langage naturel, comme si vous discutiez avec votre pote développeur et Copilot Workspace vous aide à transformer votre concept en réalité, étape par étape.

Par exemple, si vous avez une idée de fonctionnalité à ajouter à votre projet, vous ouvrez Copilot Workspace, vous saisissez une description de ce que vous voulez faire, et hop ! L’IA analyse votre requête, génère un plan d’action détaillé, et vous guide tout au long du processus de développement.

Brainstorming, planification, implémentation, tests… Chaque phase est assistée par Copilot Workspace qui vous fera des suggestions, répondra à vos questions, et automatisera un maximum de tâches fastidieuses, le tout de manière transparente et collaborative.

Le top du top, c’est que tout est « steerable » comme ils disent chez GitHub. Cela veut dire que vous gardez le contrôle à tout moment et chaque suggestion de l’IA peut être affinée, modifiée ou rejetée selon vos désirs. Bref, vous restez le pilote et Copilot n’est que votre copilote (et gardez votre culotte) !

D’ailleurs, Copilot Workspace vous permet d’orienter le système via le langage naturel à 2 endroits : en modifiant la spécification (une description de la base de code actuelle et de l’état souhaité) et en modifiant le plan (une liste d’actions à entreprendre dans chaque fichier). Cela vous permet de guider le système vers la solution que vous souhaitez mettre en œuvre. Cette capacité de pilotage est essentielle, car elle permet aux développeurs de dépasser les limites de la taille des suggestions, en imitant la façon dont ils travaillent sur des problèmes réels. Cela se traduit par un code généré plus précis et plus facile à évaluer.

Une fois votre code écrit, vous pouvez le valider et l’exécuter directement dans l’environnement, histoire de vérifier que tout roule comme sur des roulettes. Chaque Copilot Workspace permet une synchronisation en direct avec les Codespaces, ce qui vous permet d’ouvrir un terminal, d’installer des dépendances et d’exécuter votre code directement depuis l’espace de travail. Et si vous avez besoin d’outils plus avancés, hop, vous basculez dans un Codespace pour retrouver une expérience d’IDE complète dans le cloud, avec un serveur exécutant VS Code.

Côté collaboration, vous pouvez partager un instantané de votre Workspace avec vos petits camarades en un clic, pour recueillir leur feedback ou les laisser expérimenter leurs propres idées. S’ils font partie de la preview technique, ils pourront même forker votre Workspace et itérer dessus. Par contre, si vous apportez des modifications à votre Workspace après l’avoir partagé, ces changements ne seront pas reflétés dans la version partagée. Il faudra alors partager un nouveau lien pour transmettre la dernière mouture.

Et le plus chouette, c’est que Copilot Workspace est accessible de partout, même depuis votre smartphone. Comme ça, la prochaine fois que vous avez une illumination en faisant vos courses, vous pourrez directement la prototyper depuis le rayon fromages du supermarché !

Avec cette annonce, GitHub affiche clairement son ambition : démocratiser le développement logiciel en le rendant plus intuitif, plus naturel, plus humain en somme. Leur vision à long terme c’est un monde où tout le monde peut coder aussi simplement qu’on fait du vélo et je dois dire que je suis plutôt emballé par cette perspective puisque je fonctionne déjà comme ça pour mes projets de dev grâce notamment à Cursor.

Sous le capot, Copilot Workspace est propulsé par le modèle GPT-4 Turbo, que les équipes de GitHub ont jugé le plus performant pour cette tâche après avoir testé de nombreuses alternatives. D’ailleurs, c’est intéressant de comparer Copilot Workspace avec les autres fonctionnalités de la gamme Copilot.

Là où Copilot vous aide à écrire du code en faisant des suggestions au fur et à mesure que vous tapez, et où Copilot Chat permet de discuter des changements potentiels, Copilot Workspace est un véritable environnement de développement orienté tâches, qui planifie et rédige des modifications coordonnées sur plusieurs fichiers. Chacun de ces outils a son utilité, et ils se complètent à merveille.

GitHub a surtout compris l’importance d’impliquer les développeurs dans cette aventure. C’est pour ça qu’ils lancent Copilot Workspace en technical preview, histoire de recueillir un maximum de feedback et d’itérer en fonction. Si ça vous tente de jouer les beta-testeurs, c’est par ici pour vous inscrire !

Source

Vous êtes-vous déjà demandé ce qui se cache dans les profondeurs obscures des dépôts Git publics ? Eh bien, figurez-vous qu’il y a un outil en ligne qui permet de dénicher des trucs de dingue ! Ça s’appelle Grep.app et c’est un moteur de recherche qui va vous faire halluciner.

Concrètement, vous balancez votre recherche dans la barre et hop, ça vous sort tous les résultats où votre mot-clé apparaît dans les repos Git publics. Genre, vous tapez une adresse email et vous tombez sur tous les endroits où elle est mentionnée. Mais attention, hein… Y a pas que des trucs anodins qui traînent dans ces dépôts. Si vous cherchez un peu, vous pouvez même tomber sur des clés d’API AWS ou Google !

Bon, après faut pas déconner non plus. Si vous tombez sur des clés dans un dépôt public, considérez-les comme grillées direct. Même si le dépôt est supprimé par la suite, y a plein de petits malins qui font ce genre de recherches régulièrement. Donc méfiance !

Cela dit, Github a quand même mis en place un système d’alerte pour les clés, mots de passe, etc qui se retrouvent dans le code. Du coup, y a des chances que la plupart soient invalidées assez vite, soit par le développeur qui change sa clé, soit direct par le fournisseur. Mais on n’est jamais trop prudent…

En parlant de Github, ils ont aussi leur propre outil de recherche de code qui est plutôt balèze. Ça s’appelle Github Code Search. Ça indexe environ 45 millions de dépôts, ce qui est déjà pas mal !

En gros, ils utilisent un moteur de recherche maison qui indexe le contenu avec une technique appelée « sparse ngrams ». D’après eux, ça permet d’exécuter les recherches plus rapidement, tout en étant un index plus petit. Si vous voulez en savoir plus sur la technologie derrière, ils ont publié un article de blog super intéressant.

Maintenant, est-ce que Grep.app est à la hauteur face à Github Code Search ? Difficile à dire… Une chose est sûre, c’est que Grep.app a l’air de se concentrer uniquement sur le code en lui-même. Donc si vous cherchez des chaînes de texte dans de la prose qui se retrouve dans des recherches de code, vous risquez de passer à côté avec Grep.app. Genre pour chercher dans des fichiers texte ou Markdown.

Et ça, c’est un peu dommage. Parce que des fois, on a besoin de chercher du code avec plein de caractères spéciaux vicieux. Et là, la recherche de code actuelle de Github nous laisse tomber. Mais bon, on peut pas tout avoir non plus… En attendant, Grep.app reste quand même un outil bien pratique pour dénicher des infos cachées dans les entrailles de Git. Et puis c’est gratuit et open-source en plus !

Si vous vous intéressez un peu aux outils IA, vous connaissez sûrement Claude, l’assistant IA dernière génération d’Anthropic. Depuis la sortie de sa version 3, c’est d’ailleurs devenu mon meilleur pote pour coder à la vitesse de l’éclair. j’ai même pris un abonnement payant en rusant un peu.

Toutefois, le seul truc qui me ralentissait dans mes grandes ambitions, c’était de devoir copier-coller à la main tous mes fichiers de code dans la fenêtre de contexte de Claude pour ensuite lui demander d’analyser ça, et me proposer des corrections ou une nouvelle fonction. Mais ça, c’était avant car je suis tombé sur un petit bijou opensource qui va vous changer la vie : AiFormat.

Ce petit outil en ligne de commande vous permet de sélectionner des fichiers et dossiers, et de les convertir automatiquement dans un format optimisé pour Claude. En deux clics, tout est dans le presse-papier, prêt à être envoyé à votre IA préférée.

Sous le capot, AiFormat utilise Ink, une chouette librairie pour créer des CLI avec une belle interface utilisateur. Ça vous permet de filtrer et naviguer dans vos fichiers, de les sélectionner avec les flèches, et tout ça de façon super intuitive.

Pour l’installer et le prendre en main, c’est hyper simple, tout est expliqué sur la page Github du projet. Ça commence par un simple :

npm install --global aiformat

Ensuite, pour utiliser aiformat, accédez au répertoire contenant les fichiers et dossiers que vous souhaitez partager avec Claude puis lancez la commande suivante :

aiformat

Le créateur a eu la bonne idée de mettre le projet en opensource (MIT license), du coup n’hésitez pas à y jeter un œil et même contribuer si le cœur vous en dit. La communauté vous dira merci !

Franchement, si vous utilisez souvent Claude pour coder ou analyser des projets, c’est un indispensable à avoir dans sa boîte à outils. Ça vous fera gagner un temps fou au quotidien.