@@spyxfamilyfr2422 je dirais même pour reconnaître un sujet important il faut voir le nombre de vues ( mais dans le sens contraire) moins ils sont moins nombreux mieux c’est.
Bonjour, dans le cadre du bug bounty, les recommandations demandent de rajouter un header qui identifie les requêtes du hunter. Cette opération est facile dans burp suite. Est-il possible de faire la même chose avec ce type d'outil ? Cela ne conduit-il pas l'@ip du hunter directement en blacklist ? Merci pour ta vidéo, toujours bien réalisée et motivante.
Hello ! Merci :) Tu peux ajouter ou modifier des headers avec l'option "-H". Sur du pentest classique que tu fais pour un client généralement tu ne seras pas ban histoire de bien aller au bout de tes tests. Pour du Bug Bounty ça dépend des plateformes, souvent ça passe bien, et des fois tu peux faire bannir ton ip. Il faut également penser à bien vérifier les règles d'engagement de la plateforme que tu testes, parfois ils ne veulent pas de tests trop intensifs effectivement, et dans ces cas là soit tu ne fais que des tests manuels, soit tu limites un peu le nombre de requêtes par seconde que tu envoies. Par exemple avec FFuF tu peux faire ça avec l'option "-rate".
Super vidéo ! J'avais quelques questions : 1/ A l'exception de burp, ffuf, y'a-t-il d'autres outils que t'utilisent couramment lors de tes tests d'intrusion web ? 2/ Utilises tu souvent des scanners de vulnérabilité lors de tes missions ? Si oui, est ce que ce n'est pas aggressif comme méthode (par ex crash ou ralentissement du serveur web en raison d'un nombre trop élevé de requêtes) ? Si non, pourquoi tu ne les utilises pas ? Merci pour ta réponse
Merci :) Alors pour répondre à tes questions : 1/ Oui il y en a beaucoup, mais ça va être difficile de tous les lister. Le principal outil que j'utilise c'est évidement Burp Suite Pro, mais après il y a plusieurs outils utilisés comme ffuf, nmap, subfinder, sqlmap, metasploit, nuclei... Il faudrait que je fasse une vidéo pour lister les outils que j'utilise le plus un jour :) 2/ Sur du pentest Web j'utilise surtout le scanner de BurpPro, et quelques autres outils, comme nuclei ou nikto. Niveau risques pour les serveurs, généralement, ça se passe bien parce que je fais attention à ce que je fais, et, de toute façon, je préviens bien le client qu'il peut y avoir des plantages ou des ralentissements.
La preuve que le nombre de vues ne détermine pas la qualité d'une vidéo
Merci beaucoup 😊
grave
@@spyxfamilyfr2422 je dirais même pour reconnaître un sujet important il faut voir le nombre de vues ( mais dans le sens contraire) moins ils sont moins nombreux mieux c’est.
@@spyxfamilyfr2422 vraiment. C’est ma première fois sur la chaîne et je peux dire que c’est du bon contenu. Simple, clair et compréhensible.
Super vidéo ! (Comme toujours en fait) 😊
Merci beaucoup !
Très bon contenu, bien expliqué, merci !
Merci à toi 😊
Superbe vidéo frère dommage que l'audience soit limité
Bonjour, dans le cadre du bug bounty, les recommandations demandent de rajouter un header qui identifie les requêtes du hunter. Cette opération est facile dans burp suite. Est-il possible de faire la même chose avec ce type d'outil ? Cela ne conduit-il pas l'@ip du hunter directement en blacklist ?
Merci pour ta vidéo, toujours bien réalisée et motivante.
Hello ! Merci :) Tu peux ajouter ou modifier des headers avec l'option "-H".
Sur du pentest classique que tu fais pour un client généralement tu ne seras pas ban histoire de bien aller au bout de tes tests.
Pour du Bug Bounty ça dépend des plateformes, souvent ça passe bien, et des fois tu peux faire bannir ton ip. Il faut également penser à bien vérifier les règles d'engagement de la plateforme que tu testes, parfois ils ne veulent pas de tests trop intensifs effectivement, et dans ces cas là soit tu ne fais que des tests manuels, soit tu limites un peu le nombre de requêtes par seconde que tu envoies. Par exemple avec FFuF tu peux faire ça avec l'option "-rate".
Super vidéo ! J'avais quelques questions :
1/ A l'exception de burp, ffuf, y'a-t-il d'autres outils que t'utilisent couramment lors de tes tests d'intrusion web ?
2/ Utilises tu souvent des scanners de vulnérabilité lors de tes missions ? Si oui, est ce que ce n'est pas aggressif comme méthode (par ex crash ou ralentissement du serveur web en raison d'un nombre trop élevé de requêtes) ? Si non, pourquoi tu ne les utilises pas ?
Merci pour ta réponse
Merci :)
Alors pour répondre à tes questions :
1/ Oui il y en a beaucoup, mais ça va être difficile de tous les lister. Le principal outil que j'utilise c'est évidement Burp Suite Pro, mais après il y a plusieurs outils utilisés comme ffuf, nmap, subfinder, sqlmap, metasploit, nuclei... Il faudrait que je fasse une vidéo pour lister les outils que j'utilise le plus un jour :)
2/ Sur du pentest Web j'utilise surtout le scanner de BurpPro, et quelques autres outils, comme nuclei ou nikto. Niveau risques pour les serveurs, généralement, ça se passe bien parce que je fais attention à ce que je fais, et, de toute façon, je préviens bien le client qu'il peut y avoir des plantages ou des ralentissements.
@@Secureaks Merci pour tes explications. Ouais une petite vidéo sur les outils que t'utilises dans ton quotidien serait sympa :D
6:28