FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hiermalekal.com

15 types de scan de ports Nmap à connaitre

30 septembre 2022 à 13:24

NMAP (Network Mapper), est l’un des plus célèbres outils open-source permettant d’effectuer des analyses de réseau, des audits de sécurité et de trouver des vulnérabilités dans l’infrastructure du réseau.
Pour cela, il offre de multiples techniques de scans différents.

Dans cet article, je vous propose de vous énumérer tous les types de ports scans de Nmap avec un descriptif.
Vous trouverez aussi les commandes pour chacun d’eux.

15 types de scan de ports Nmap à connaitre

Les types et techniques de ports scan de Nmap

Il existe différents types de scans qui peuvent être effectués en utilisant Nmap. L’utilisateur de Nmap effectue ces scans dans différents buts.
Par défaut, Nmap effectue un scan SYN lors du balayage des ports TCP, sauf si l’utilisateur ne dispose pas de privilèges suffisants.

Pour mieux appréhender ce tutoriel, je vous conseille de lire celui-ci :

Les types et techniques de ports scan de Nmap
source : https://www.stationx.net/nmap-cheat-sheet/

Ping Sweep (-sn)

Voici le type balayage de Nmap le plus simple.
Il envoie des pings à toutes les adresses IP disponibles pour vérifier quelles adresses IP répondent au protocole ICMP (Internet Control Message) est appelé Ping Sweep. Si les utilisateurs ont besoin de connaître uniquement le nombre d’adresses IP et pas beaucoup de détails, ce Ping Sweep est très utile. Il est plus rapide et permet donc d’aller chercher facilement les résultats à connaître.

nmap -sn

Scan UDP (-sU)

UDP est utilisé pour vérifier si un port écoute les requêtes à venir sur la machine ciblée. Vous pouvez obtenir un faux rapport dans les résultats de votre analyse, car il n’y a pas de mécanisme pour répondre positivement. Les analyses UPD peuvent être utilisées pour découvrir tout cheval de Troie caché ou tout service RPC.
Ces scans ne sont pas très rapides car les machines traitent ce type de trafic lentement.

nmap -sU

Scan TCP SYN (-sS)

Il s’agit d’un type de scan TCP. Les paquets SYN sont créés par Nmap lui-même, et ces paquets SYN sont utilisés pour initier une connexion TCP.
Il envoie un paquet SYN via TCP à tous les ports prévus. Si un paquet d’accusé de réception est reçu en retour par le système, il est certain qu’un port est ouvert à cet endroit. L’absence de réponse signifie que le port est soit fermé, soit non disponible. Dans ce cas, le paquet d’accusés de réception n’est pas renvoyé au système en supposant que la connexion n’est pas valide. Ainsi, la connexion complète n’est pas analysée selon le système. Ce scan n’est pas montré dans la plupart des journaux de scan et donc il est sûr d’utiliser le scan SYN pour identifier les ports.

nmap -sS

TCP Connect Scan (-sT)

Cette méthode est similaire au SYN scan à bien des égards, car elle utilise la couche TCP pour envoyer des paquets et ceux-ci sont transmis à tous les ports. Ici, la différence est que la connexion complète est effectuée en renvoyant les paquets d’accusé de réception. Les journaux peuvent facilement trouver le scan TCP et nécessitent plus de puissance de la part des machines pour effectuer le travail. Mais cette méthode est plus précise que les scans SYN.
Si tous les accès liés au système d’exploitation sont disponibles pour l’utilisateur, il est préférable d’effectuer un scan TCP plutôt qu’un scan SYN car tous les accès de bas niveau et de haut niveau sont nécessaires pour ce scan. Le réseau est également plus chargé et l’utilisateur doit donc faire attention au chargement des systèmes et des réseaux.

nmap -sT

Scan TCP FIN (-sF)

Le scan FIN est très proche du scan SYN. Si la machine ciblée reçoit une entrée FIN, la plupart d’entre elles renverront le paquet de réinitialisation (RST).

nmap -sF

TCP Ping Scan (sP)

nmap -sP

Scan TCP ACK (-sA)

Pour vérifier si les ports sont filtrés ou non, les scans ACK sont utilisés.
Le scan ACK n’active que le drapeau ACK des paquets (à moins que vous n’utilisiez l’option –scanflags). Les systèmes non-filtrés réagissent en retournant un paquet RST.
Nmap considère alors le port comme non-filtré, signifiant qu’il est accessible avec un paquet ACK, mais sans savoir s’il est réellement ouvert ou fermé. Les ports qui ne répondent pas ou renvoient certains messages d’erreur ICMP (type 3, code 1, 2, 3, 9, 10, ou 13), sont considérés comme filtrés.

nmap -sA

TCP Window Scan

Le TCP Window scan ou Scan de fenêtre TCP est exactement le même que ACK scan sauf qu’il exploite un détail d’implémentation de certains systèmes pour différencier les ports ouverts des ports fermés, plutôt que de toujours imprimer sans filtre quand un RST est retourné. Il le fait en examinant la valeur TCP Window des paquets RST retournés. Sur certains systèmes, les ports ouverts utilisent une taille de fenêtre positive (même pour les paquets RST) alors que les ports fermés ont une fenêtre nulle. Window scan envoie la même sonde ACK nue que ACK scan.

Réponse de la sondeÉtat assigné
Réponse TCP RST avec champ de fenêtre non nulouvert
Réponse TCP RST avec champ de fenêtre zérofermé
Aucune réponse reçue (même après des retransmissions)filtré
ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13)filtré
Comment Nmap interprète les réponses à une sonde ACK de Window scan.
nmap -sW

Scan TCP NULL (-sN)

Comme son nom l’indique, le scan NULL met tous les champs de l’en-tête à zéro (null). Ces types de paquets ne sont pas authentiques, et certaines cibles ne savent pas comment traiter ces paquets. Ces cibles peuvent être votre machine Windows, et lorsque vous les scannez en utilisant des paquets NULL, elles produisent des résultats non fiables.

nmap -sN

Scan TCP XMAS (sX)

Le scan XMAS a la même nature que le scan NULL, car tous deux sont difficiles à détecter. L’implémentation de la pile TCP empêchera Windows de répondre aux scans Xmas. Les scans XMAS sont utilisés pour faire fonctionner les drapeaux FIN, URG, et PSH présents dans l’en-tête TCP.

nmap -sX

Scan RPC

Ces types de scans sont utilisés pour trouver les systèmes qui répondent aux services RPC (Remote procedure call). Cela permet d’exécuter des commandes à distance sur une machine spécifique. Les services RPC peuvent également être utilisés sur de nombreux ports différents ; c’est pourquoi il est difficile de savoir si les services RPC fonctionnent ou non. Le scan RPC doit être effectué souvent pour vérifier les services RPC en cours d’exécution.

Scan IDLE (-sI)

Ce type de scan est spécifique à Nmap pour Windows ou Linux.
Les paquets de scan envoyés à un port sont déplacés par un autre hôte pour vérifier la présence de logiciels malveillants. Les utilisateurs n’ont pas besoin de contrôler l’hôte externe, mais une adresse IP et un port doivent lui être attribués. Toutes les autres exigences proviennent du scanner lui-même.
Le scan IDLE est le plus furtif de tous. Les attaquants utilisent principalement le scan IDLE pour des attaques malveillantes. Certaines conditions spécifiques sont nécessaires pour effectuer ce scan.

nmap -sI

IP Protocol Scan (-sO)

L’analyse du protocole IP vous permet de déterminer quels protocoles IP (TCP, ICMP, IGMP, etc.) sont pris en charge par les machines cibles. Techniquement, il ne s’agit pas d’un scan de port, puisqu’il parcourt les numéros de protocole IP plutôt que les numéros de port TCP ou UDP. Pourtant, il utilise toujours l’option -p pour sélectionner les numéros de protocole analysés, rapporte ses résultats dans le format normal de la table des ports, et utilise même le même moteur d’analyse sous-jacent que les véritables méthodes d’analyse de port. Ainsi, il est suffisamment proche d’un scan de port pour qu’il ait sa place ici.

nmap -sO

Scan de détection de version (-sV)

Après la découverte des ports TCP et/ou UDP à l’aide de l’une des autres méthodes d’analyse, la détection de version interroge ces ports pour en savoir plus sur ce qui est réellement en cours d’exécution.
La base de données nmap-service-probes contient des sondes pour interroger divers services et des expressions de correspondance pour reconnaître et analyser les réponses.
Nmap essaie de déterminer le protocole du service (par exemple FTP, SSH, Telnet, HTTP), le nom de l’application (par exemple ISC BIND, Apache httpd, Solaris telnetd), le numéro de version, le nom de l’hôte, le type de périphérique (par exemple imprimante, routeur), la famille d’OS (par exemple Windows, Linux). Lorsque c’est possible, Nmap obtient également la représentation CPE (Common Platform Enumeration) de ces informations.

nmap -sV

Liens

L’article 15 types de scan de ports Nmap à connaitre est apparu en premier sur malekal.com.

Le Tabnabbing : méthode de phishing à connaître

5 septembre 2022 à 11:34

Le tabnabbing est une technique de phishing pas forcément très connue, pourtant ancienne car découverte en 2010.

Il s’agit essentiellement d’un exploit informatique qui incite l’utilisateur à soumettre ses données de connexion et son mot de passe à un site web connu en imitant ces sites.
Cette technique particulière vise à abuser des onglets du navigateur internet.

Dans ce tutoriel, je vous explique ce qu’est le tabnabbing et pourquoi il faut connaître cette méthode d’hameçonnage.

Le Tabnabbing : méthode de phishing à connaître

Qu’est-ce que le tabnabbing

Le tabnabbing est une forme de phishing. Il s’agit essentiellement d’un exploit informatique qui incite l’utilisateur à soumettre ses informations de connexion et son mot de passe à un site web connu en imitant ces sites.

Elle se produit lorsqu’un visiteur d’un site clique sur un lien qui s’ouvre dans un nouvel onglet ou une nouvelle fenêtre. Cette action donne aux pirates l’opportunité de placer une redirection vers un site dupliqué qui est totalement sous leur contrôle.

On peut alors imaginer ce scénario :

  1. Un utilisateur a une dizaine d’onglets ouverts sur son navigateur internet
  2. Il ouvre un lien malveillant reçu par mail. Cela le redirige vers une fausse page d’actualité, de gaming ou autres. Cette page n’opère aucun attaque et ne tente pas d’installer de malware. La victime Il lit le contenu et surtout garde l’onglet ouvert puis revient à ses onglets ouverts précédemment pour continuer d’autres tâches
  3. Le site malveillant détecte que l’onglet n’est plus actif et s’actualise pour rediriger vers une fausse page de login Facebook, Twitter ou autres
  4. La victime retourne dessus et pense avoir été déconnecté d’un de ses comptes internet et s’identifie sans aucune vérification
  5. L’attaque récupèrent les identifiants (utilisateur/mot de passe)
Qu'est-ce que le tabnabbing

L’attaque par tabnabbing exploite le fait que l’utilisateur a plusieurs onglets ouverts ainsi qu’une trop grande confiance dans les onglets déjà ouverts.
Généralement, les internautes font attention aux domaines internet et URL avant de cliquer sur le lien.
Une fois l’onglet ouvert, nous sommes moins vigilants.
Un code Javascript dans le site ouvert détecte que l’onglet n’est plus ouvert pour effectuer une redirection vers une fasse page d’identification.
Lorsque la victime retourne sur l’onglet.

Comment se protéger du tabnabbing ?

Voici quatre choses que vous pouvez faire pour éviter le tabnabbing :

  • Ayez le moins d’onglets ouverts possible. Les gens ont souvent du mal avec cela, mais il est probablement plus facile d’ouvrir un nouvel onglet et de saisir l’adresse que de parcourir des dizaines d’onglets ouverts pour trouver le bon
  • Conservez les onglets dans différentes fenêtres en fonction de l’usage que vous en faites. Ainsi, par exemple, vous pouvez avoir une fenêtre avec votre boîte de réception et votre intranet, une autre pour vos tâches professionnelles et une autre pour les activités non liées au travail

Cela ne vous rendra pas moins susceptible d’être visé par le tabnabbing, mais vous aurez plus de chances de remarquer qu’un onglet a été infecté, car il se trouvera probablement au mauvais endroit.

  • Vérifiez la barre d’adresse si quelque chose vous semble anormal. Le contenu du site peut changer, mais l’adresse ne correspond pas

Cela peut être évident à repérer car les criminels peuvent avoir imité l’URL authentique. Cependant, un examen plus approfondi devrait révéler des indices sur sa véritable nature.

  • Examinez attentivement la page. Il peut y avoir des différences entre elle et le site authentique. Recherchez les fautes d’orthographe, les mauvaises formulations et les mises en page inhabituelles

L’article Le Tabnabbing : méthode de phishing à connaître est apparu en premier sur malekal.com.

Qu’est-ce que le vol de cookies et le détournement de session ?

24 août 2022 à 08:26

Pour les internautes, les cookies sont souvent assimilés au pistage et suivi.
Mais les cookies sont utiles notamment lorsque vous vous identifiez sur un site internet (Facebook, Netflix, Twitter, Tiktok et autres) pour rester authentifié en tant qu’utilisateur.
On parle alors de session.
Les pirates peuvent chercher à récupérer vos cookies de session afin de tenter de s’identifier sur vos comptes internet à votre place.
Ces attaques contre les cookies visent donc à détourner la session, en anglais, on parle Session Hijacking.

Pour bien comprendre ce qu’est le vol de cookies, vous devez comprendre ce que sont les cookies. Et, plus important encore, vous devez savoir comment ils fonctionnent.
Ce tutoriel vous explique tout ce qu’il faut savoir sur le vol de cookies.

Qu'est-ce que le vol de cookies et le détournement de session ?

Qu’est-ce qu’un cookie ?

Un cookie est un fichier texte créé par un site internet dans votre navigateur internet.
Seul le site internet peut lire et modifier son cookie.
Le fichier stocke des valeurs et données.

Pour bon nombres d’internautes les cookies sont assimilés aux pistages et suivi.
En effet, quand vous vous connecter sur la plupart des sites, un cookies tiers est créé dans votre navigateur internet.
Ils permettent de baliser les sites visités et vous pister.
Une fois cela fait, on peut afficher des publicités ciblées.
Ces cookies tiers se nomment tracking cookies car leurs fonctions principales est le pistage.

Exemple de tracking cookies

Mais les cookies sont aussi utiles, lorsque vous vous identifiez avec un nom d’utilisateur et mot de passe, le site créé un cookie de session.
Tant que ce cookie est présent sur votre navigateur internet, vous restez connecté.
Lorsque vous cliquez sur le bouton déconnexion, le cookie est détruit et la session se termine.
Vous n’êtes plus identifiez sur le site internet.
Dans ce cas là, ce sont des cookies de session.

Ainsi, lorsque vous vous connectez à un site Web ou à une application Web, votre navigateur internet sait que vous êtes authentifié car le serveur définit un cookie de session temporaire. Cette session informatique vous permet de rester authentifié sur un site Web, vous n’avez alors pas besoin de ressaisir vos identifiants de connexions lors de l’accès à chaque page du site internet.

Qu’est-ce que le vol de cookies ?

Les hackers peuvent donc chercher à voler les cookies de session afin de tenter de se connecter sur vos comptes internet à votre place sans connaître votre mot de passe.
Ce procédé est le détournement de session (Session Hijacking).

Vos cookies peuvent être utilisés pour compromettre facilement les réseaux sociaux, les e-mails et de nombreux autres services.

Que peuvent faire les pirates après un détournement de session?

Bien que les pirates ne connaissent pas le mot de passe de votre compte bancaire ou d’autres comptes sécurisés, ils pourront utiliser une session active.
Cela ne veut pas forcément dire qu’ils pourront avoir accès à l’intégralité du site.
Mais ils pourront effectuer certaines opérations, par exemple rechercher des informations ou les extraire.

Si un pirate détourne votre session pendant que vous êtes connecté à une banque, il pourra prendre toutes les mesures que vous pourriez également entreprendre.
Cela comprend le transfert d’argent, l’achat de produits dans un magasin dans lequel vous êtes connecté, accéder aux informations personnelles et plus encore.

C’est pourquoi de nombreux sites Web tels que les sites bancaires ont des délais de session qui vous obligent à vous reconnecter après aussi peu que 5 minutes de temps d’inactivité.

Comment les pirates volent les cookies ?

Il existe essentiellement deux méthodes pour voler les cookies :

Comment se protéger du vol de cookies ?

Pour se protéger du vol de cookie, la meilleure solution reste de se déconnecter dès que vous avez terminé d’utiliser un site internet.
En vous déconnectant, le cookie est détruit, dès lors, il n’y a plus rien à voler.
Bien entendu, vous serez obligé de vous reconnecter la prochaine fois.

Suivez les règles de sécurité basiques :

L’article Qu’est-ce que le vol de cookies et le détournement de session ? est apparu en premier sur malekal.com.

❌