Search: [sécurité] - kalvn's links

GitHub - lirantal/awesome-nodejs-security: Awesome Node.js Security resources https://github.com/lirantal/awesome-nodejs-security

07/11/2023 23:10:40

De nombreuses ressources relatives à la sécurité dans les applications Node.js.

Desktop Linux Hardening | PrivSec - A practical approach to Privacy and Security https://privsec.dev/posts/linux/desktop-linux-hardening/#flatpak

15/07/2023 19:01:42

Export Google Authenticator secret OTP-keys · GitHub https://gist.github.com/mapster/4b8b9f8f6b92cc1ca58ae5506e0508f7

25/04/2023 14:59:51

Un moyen pour exporter vos codes OTP depuis Google Authenticator en vue de les importer dans une autre app du genre FreeOTP+.

Dans GA : menu > Transférer des comptes.
Scannez le/les QR Codes avec un autre téléphone de confiance, et copiez-collez l'URL résultante sur un bloc note de confiance type ZeroBin.
Sur votre PC installez Node.js si ce n'est pas déjà fait.
Créez les 2 fichiers index.js et migration-payload.proto et collez-y le contenu depuis ce lien.
Lancez npm install protobufjs hi-base32
Lancez node index.js <url obtenue depuis le QR code de GA> autant de fois que vous avez d'URL
Dans FreeOTP+, faites menu > Ajouter un jeton.
Tapez l'émetteur, le compte et le secret tels qu'obtenus dans la sortie console du script (pas la peine de changer les autres paramètres).
Testez que l'OTP obtenu fonctionne.
Faites de même pour tous vos codes.

Pensez à nettoyer l'historique de votre console à la fin. Si vous êtes avec un système UNIX, faites:

history -c 
history -w

Vous pouvez aussi supprimer le fichier ~/.bash_history ou l'éditer et supprimer uniquement les lignes qui contiennent vos URLs entrées à l'étape 6.

NPM Security - OWASP Cheat Sheet Series https://cheatsheetseries.owasp.org/cheatsheets/NPM_Security_Cheat_Sheet.html

18/04/2023 22:22:59

Dix règles de sécurité à suivre lorsque vous travaillez avec NPM.

Snyk | Developer security | Develop fast. Stay secure. https://snyk.io/

05/02/2023 20:27:26

Un outil gratuit pour faire des scans de sécurité sur votre code.

What Are Refresh Tokens and How to Use Them Securely https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/

17/08/2022 21:59:36

Un topo sur une façon t'implémenter les refresh tokens JWT de manière sécurisée.

AutoPWN Suite https://auto.pwnspot.com/

15/08/2022 11:08:13

À utiliser sur vos propres infrastructures évidemment :)

AutoPWN Suite is a project for scanning vulnerabilities and exploiting systems automatically.

Security List 🔐 https://security-list.js.org

13/04/2022 23:44:51

Une liste de bonnes pratiques de sécurité informatique qui couvre plein de domaines. Attention c'est long 😁

Why you should stop using SMS https://protonmail.com/blog/stop-using-sms/

30/03/2022 21:10:34

Les SMS sont un peu comme les mails (lorsqu'ils sont utilisés sans surcouche chiffrée) : c'est un vieux protocole qui est tout sauf sécurisé. Ça pose problème notamment pour la vie privée mais également pour l'authentification à deux facteurs.

OWASP ZAP https://www.zaproxy.org/

17/03/2022 21:50:25

Un outil pour tester la sécurité de votre serveur.

Via https://korben.info/owasp-zed-attack-proxy.html

Helmet https://helmetjs.github.io/

18/11/2021 11:34:53

Une lib pour améliorer la sécurité d'une application Express.js en ajoutant plusieurs headers HTTP dans les réponses.

How to Audit Who Logged into a Computer and When https://www.lepide.com/how-to/audit-who-logged-into-a-computer-and-when.html

18/05/2021 09:01:40

Commandes GNU/Linux pour détecter une intrusion - Net-Security https://net-security.fr/security/commandes-gnu-linux-pour-detecter-une-intrusion/

21/09/2020 21:01:25

Un excellent article sur les commandes à connaître pour détecter une intrusion sur un serveur Linux.

Je copie ça rapidement ci-dessous.

# Voir si quelqu'un est connecté à la machine
w
who

# Traces des dernières connexions
last
lastb

# Historique des dernières commandes
history
su user1
history
cat /home/user/.bash_history

# Utilisateurs existants
less /etc/passwd
cat /etc/passwd
cat /etc/passwd | grep /bin/bash

# Processus
ps
ps aux
top
htop

# Connexions ouvertes par processus
lsof -i
lsof -i -p <pid-proc>

# Fichiers ouverts par processus
lsof -l
lsof -p <pid-proc>

# Ports/routes exposées
## liste les ports TCP/UDP exposés avec les services
netstat -lntup
ss -lntup
## liste les routes
netstat -r
## affiche les stats des cartes
netstat -s
ss -s

# Cartes réseaux
ip address
ip a

# Routes
ip route

# Crontab
crontab -l
crontab -u user -l

# Fichiers modifiés récemment
## Les derniers 5 jours
find / -mtime -5 -ctime -5
## La dernière minute
find / -mmin -1

# Les logs
cat /var/log/syslog
cat /var/log/syslog | less
tail -f -n 5 /var/log/syslog
cat /var/log/syslog | grep fail
tail -f /var/log/syslog

# Les clés SSH autorisées
cat /root/.ssh/authorized_keys
cat /home/debian/.ssh/authorized_keys
cat /home/user1/.ssh/authorized_keys

# Le contenu de /tmp
ls /tmp
ls -la /tmp
ls -la /tmp | more
less /tmp
ls -la /tmp | grep xxx

Watch live surveillance online IP cameras in France https://www.insecam.org/en/bycountry/FR/

27/10/2019 16:16:46

Ce site répertorie des caméras IP non-protégées et donc en libre accès sur le web. Parfait pour sensibiliser à la nécessité de protéger une webcam...

Via https://sebsauvage.net/links/?-6pP7Q

Security Checklist https://securitycheckli.st/

04/08/2019 10:32:15

Une checklist à remplir pour surfer en toute sécurité sur le net. Les outils sont bien sûr échangeables contre d'autres. C'est toujours bien d'avoir ce genre de compilation de points à connaître.

Comprendre et corriger la faille qui touche les souris et claviers sans fil Logitech lancés au cours des 10 dernières années - FrAndroid https://www.frandroid.com/android/applications/securite-applications/607587_comprendre-et-corriger-la-faille-qui-touche-les-souris-et-claviers-sans-fil-logitech-lances-au-cours-des-10-dernieres-annees

09/07/2019 09:34:27

Moi qui suis habituellement très attaché au filaire, voilà une raison de plus :)

Comment trouver des mots de passes d’emails compromis avec pwnedornot ? – Homputer Security https://homputersecurity.com/2019/04/17/comment-trouver-des-mots-de-passes-demails-compromis-avec-pwnedornot/

24/04/2019 13:25:59

Le script python utilisé est dispo ici : https://github.com/thewhiteh4t/pwnedOrNot

Why HTTPS alone won’t keep you safe on public WiFi - ProtonVPN Blog https://protonvpn.com/blog/public-wifi-and-https/

06/04/2019 09:55:52

Un petit topo sur pourquoi HTTPS seul ne vous protège pas intégralement sur un réseau wifi public. Très instructif !

Top cyber security solutions for small businesses - ProtonMail Blog https://protonmail.com/blog/cyber-security-solutions-small-business/

03/04/2019 18:54:34

Quelques services qui mettent la sécurité parmi leurs priorités. Au delà du mail et VPN, il y a de la messagerie, du cloud, etc.

Why can't I set the font size of a visited link? https://jameshfisher.com/2019/03/08/why-cant-i-set-the-font-size-of-a-visited-link.html

13/03/2019 09:42:49

Incroyable cette histoire !

Il est impossible de changer en CSS la taille d'un lien "visité" (via la pseudo-classe :visited) parce que ça permettrait ensuite à un site mal intentionné de connaître votre historique de navigation en testant la taille de plusieurs liens (et plutôt des liens gênants, forcément :P). Et du coup on pourrait penser que le site en question peut aussi vérifier la couleur pour déterminer les sites visités grâce à window.getComputedStyle(). Eh bien non, parce que cette fonction ment dans ce cas bien précis ! Elle renvoie la couleur normale d'un lien.

Fascinant :)

Links per page

Filters