user@linuxtrack:~ $ python -c 'print("Soyez les bienvenus !")'

Vous n'êtes pas identifié(e).

#1 09-12-2015 07:40:22

rodrigue daniel
Membre

Démarche à suivre pour publier un POC sur une vulnérabilité

Salut, je suis Rodrigue Daniel

Je souhaiterais savoir la démarche à suivre pour publier un POC. En fait lorsqu'une personne découvre une faille de sécurité sur une application, un système d'exploitation, qu'est ce qu'il doit faire exactement? quelles sont les étapes à suivre avant de poster son POC au grand public?

MERCI


Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

Hors ligne

#2 09-12-2015 14:38:43

steeltempest
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Hors ligne

#3 09-12-2015 17:33:43

rodrigue daniel
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut

steeltempest, ton lien ne m'aide pas. je l'ai visité mais je ne vois pas un tuto, ni un article...
SVP les gars aidez moi avec un article ou un tutoriel...


Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

Hors ligne

#4 09-12-2015 17:53:35

azgarech
Crazy one

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

steeltempest t'a partagé ce lien car les gars postent les failles sur ce genre de site et le laisse dériver dans le web à qui veut l'utiliser.


Security is always excessive until it’s not enough. — Robbie Sinclair

Hors ligne

#5 09-12-2015 20:47:36

ZeR0-@bSoLu
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

pastebin permet de créer un paste et tout le monde peut le lire si quelqu'un le trouve , ça se fait comme ça généralement


Mess With The Bests
Die Like The Rest

Hors ligne

#6 09-12-2015 20:52:35

IceF0x
#! Gourou Linux

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

En général oui, on met le code (l'exploit) qui permet d'exploiter la faille.


Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D

Hors ligne

#7 10-12-2015 00:54:01

rodrigue daniel
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut

Donc on dirait que ce sont des failles zero day que l'on publie ou quoi alors? SVP je souhaiterais une démarche. Est ce qu'il faut fournir son POC d'abord au fournisseur du produit? Bref je souhaiterais une démarche.

MERCI


Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

Hors ligne

#8 10-12-2015 07:22:45

IceF0x
#! Gourou Linux

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

https://fr.wikipedia.org/wiki/Preuve_de_concept a écrit :

En sécurité informatique, une preuve de concept est la démonstration de l’existence d'une faille logicielle par un programme qui la met en évidence.

La plupart des logiciels présentent des failles logicielles. Souvent découvertes par des laboratoires ou chercheurs indépendants, elles sont, suivant les intentions de la personne, publiées sous forme de preuve de concept afin de démontrer leur existence et favoriser la sortie de patchs correctifs. Mais les POC sont bien souvent déclinées en exploits permettant ainsi l’exécution de code arbitraire.

Il mettent tous un code source sous forme de paste par exemple ici: https://www.exploit-db.com/


Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D

Hors ligne

#9 10-12-2015 09:23:11

rodrigue daniel
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut

Merci IceF0x et les autres, mais j'ai d'autres questions : est-il obligé pour une personne de fournir aux developpeurs du produit (logiciel, système d'exploitation...), un POC sur la vulnérabilité découverte sur ce produit ? ou alors existe-t-il une loi qui l'exige? En fait, je fais référence aux failles zero day car ce sont des failles sur des logiciels, inconnues de leurs developpeurs. Sinon pourquoi parler des failles zero day?

Dernière modification par rodrigue daniel (10-12-2015 09:24:58)


Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

Hors ligne

#10 10-12-2015 18:22:25

IceF0x
#! Gourou Linux

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Une faille 0Day est une faille dévoilée mais non corrigée tout simplement.
une faille classique est une faille dont le correctif est déployé, mais pas toujours installé ce qui permet d'encore les exploiter post correctif.


Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D

Hors ligne

#11 12-12-2015 20:20:15

steeltempest
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Soit tu y vas en mode "free/partage/les failles pour tous", en gros tu transmets ton POC à exploit-db ou tu le publie sur un paste. Soit tu veux que ça te rapporte: dans le milieux des blackhat tu es quasiment sûr de vendre ton POC mais: C'est illégal. Sinon tu peux l'envoyer au développeur qui peux, selon les cas, te récompenser.

Hors ligne

#12 13-12-2015 13:09:15

rodrigue daniel
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut
MERCI beaucoup de ta réponse steeltempest


Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

Hors ligne

#13 14-12-2015 17:14:01

steeltempest
Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

De rien rodrigue.

Hors ligne

Pied de page des forums