rodrigue daniel

Membre

Démarche à suivre pour publier un POC sur une vulnérabilité

Salut, je suis Rodrigue Daniel

Je souhaiterais savoir la démarche à suivre pour publier un POC. En fait lorsqu'une personne découvre une faille de sécurité sur une application, un système d'exploitation, qu'est ce qu'il doit faire exactement? quelles sont les étapes à suivre avant de poster son POC au grand public?

MERCI

---

Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

steeltempest

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

https://pastebin.com

---

Mon email: hiddentux@sigaint.org - Mon blog: https://hiddentux.github.io

rodrigue daniel

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut

steeltempest, ton lien ne m'aide pas. je l'ai visité mais je ne vois pas un tuto, ni un article...
SVP les gars aidez moi avec un article ou un tutoriel...

---

Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

azgarech

Crazy one

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

steeltempest t'a partagé ce lien car les gars postent les failles sur ce genre de site et le laisse dériver dans le web à qui veut l'utiliser.

---

Security is always excessive until it’s not enough. — Robbie Sinclair

ZeR0-@bSoLu

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

pastebin permet de créer un paste et tout le monde peut le lire si quelqu'un le trouve , ça se fait comme ça généralement

---

Mess With The Bests
Die Like The Rest

IceF0x

#! Gourou Linux

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

En général oui, on met le code (l'exploit) qui permet d'exploiter la faille.

---

Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D

rodrigue daniel

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut

Donc on dirait que ce sont des failles zero day que l'on publie ou quoi alors? SVP je souhaiterais une démarche. Est ce qu'il faut fournir son POC d'abord au fournisseur du produit? Bref je souhaiterais une démarche.

MERCI

---

Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

IceF0x

#! Gourou Linux

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

En sécurité informatique, une preuve de concept est la démonstration de l’existence d'une faille logicielle par un programme qui la met en évidence.

La plupart des logiciels présentent des failles logicielles. Souvent découvertes par des laboratoires ou chercheurs indépendants, elles sont, suivant les intentions de la personne, publiées sous forme de preuve de concept afin de démontrer leur existence et favoriser la sortie de patchs correctifs. Mais les POC sont bien souvent déclinées en exploits permettant ainsi l’exécution de code arbitraire.

Il mettent tous un code source sous forme de paste par exemple ici: https://www.exploit-db.com/

---

Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D

rodrigue daniel

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut

Merci IceF0x et les autres, mais j'ai d'autres questions : est-il obligé pour une personne de fournir aux developpeurs du produit (logiciel, système d'exploitation...), un POC sur la vulnérabilité découverte sur ce produit ? ou alors existe-t-il une loi qui l'exige? En fait, je fais référence aux failles zero day car ce sont des failles sur des logiciels, inconnues de leurs developpeurs. Sinon pourquoi parler des failles zero day?

Dernière modification par rodrigue daniel (10-12-2015 09:24:58)

---

Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

IceF0x

#! Gourou Linux

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Une faille 0Day est une faille dévoilée mais non corrigée tout simplement.
une faille classique est une faille dont le correctif est déployé, mais pas toujours installé ce qui permet d'encore les exploiter post correctif.

---

Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D

steeltempest

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Soit tu y vas en mode "free/partage/les failles pour tous", en gros tu transmets ton POC à exploit-db ou tu le publie sur un paste. Soit tu veux que ça te rapporte: dans le milieux des blackhat tu es quasiment sûr de vendre ton POC mais: C'est illégal. Sinon tu peux l'envoyer au développeur qui peux, selon les cas, te récompenser.

---

Mon email: hiddentux@sigaint.org - Mon blog: https://hiddentux.github.io

rodrigue daniel

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

Salut
MERCI beaucoup de ta réponse steeltempest

---

Passionné par la Sécurité Informatique.
Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

steeltempest

Membre

Re : Démarche à suivre pour publier un POC sur une vulnérabilité

De rien rodrigue.

---

Mon email: hiddentux@sigaint.org - Mon blog: https://hiddentux.github.io