Ma lecture cybersecurité, informatique et divers du mois n°9

Une fois n'est pas coutume ce post sera double car il n'y en a pas eu en juillet. Du coup voici ma longue liste de lecture sur juillet et août beaucoup de chose notamment sur le RGPD, et des attaques sur le OS d'apple iOS et Mac OS.

Très intéressante vidéo sur le Reverse engineering d'un DGA et aussi un super retour d'expérience sur l’enchaînement de 4 failles découverte sur Github Enterprise par une chercheuse en sécurité.

• Observation de la CNIL sur le projet de loi renforçant la sécurité informatique
• OVH revient sur l'incident qui a touché une partie de ces installations le 29 juin dernier, bonne auto-critique
• Post-Exploitation avec Incognito, élévation de privilège dans un Domain Active Directory [EN]
• Petit retour sur la famille du malware Petya [EN]
• Un outil pour automatiser les contrôles de sécurité sur les systèmes linux / unix [EN]
• Un plugin intéressant pour les possesseurs de Burp Suite Pro. Vulners un scanner basé sur la base de donnée des vulnérabilités du site du même nom [EN]
• Un super partage d'OVH et leur passage sur Docker pour une partie de leur gestion de base de données MySQL
• Un guide pour pentester sur PostgreSQL [EN]
• Utiliser RouterSploit sur un téléphone Android non rooté [EN]
• Retour d'un pentester sur une faille RCE trouvé chez Paypal [EN]
• Black Hat 2017 : l'insécurité par les antivirus, un avis intéressant de Izik Kotler.
• Un guide PDF pour bien utiliser Kali disponible aussi sur Amazon
• Une explication technique du premier vers Wifi : Broadpwn
• Cracking the Lens: Targeting HTTP's Hidden Attack-Surface [EN] 
• Une vidéo sur le reverse engineering d'un algorithme de génération de Domaine [EN][VIDEO]
• Un retour d'expérience sur la remonté de 4 failles successive sur Github Entreprise du SSRF Execution à la RCE, bravo ! [EN]
• Un cours rapide/intensif pour apprendre l'assembleur x86 [EN][PDF]

Et pour le mois d'août voici la suite de ma lecture estivale :

• Appel à commentaire : Intégrer la sécurité numérique dans une démarche agile
• Hunt : Extension pour Burp Suite [EN]
• Les slides de x0rz pour la DEFCON25 sur la nouvelle génération des services TOR [EN]
• La suite d'un tutoriel sur l'exploitation de Stack Overflow sur Windows [EN]
• Un Hacker allemand donne ces conseils pour la création de mot de passe très fort
• Un thread twitter d'Hydraze sur la fuite de Dailymotion et la réaction de Bluetouff
• La page wiki de l'OWASP sur HTTP Strict Transport Security Cheat Sheet [EN]
• EggShell a post exploitation tool for iOS et macOS [EN]
• L'ingénieur du NIST qui avait fait des recommandations pour les mots de passe regrette ces propos
• Encore un article sur le RGPD qui m'a servi pour écrire le mien
• Le calculateur de temps de crackage d'un mot de passe
• CNIL un article sur le droit à la portabilité des données introduite par le RGPD
• Du forensic sur OSX avec un collecteur de données [EN]
• 7 extensions compromises sous Chrome [EN]
• Se mettre en conformité avec le RGPD l'approche d'ATOS
• Les dix erreurs commise par les développeurs en cryptographie
• ESET annonce avoir découvert 255 failles de sécurité au premier semestre 2017 sur Smartphone iOS en tête
• Un livre pour apprendre le x86, l'assembleur, gestion mémoire etc [GIT HUB][EN]
• Configurer proftpd pour fonctionner en SFTP [EN]
• Petite explication du logiciel Sandboxie une sandbox pour vos tests de sécurité [EN]
• Histoire vécue d'un RSSI
• RGPD quels impacts sur vos actions marketing
• Une technique de Bypass de WAF [EN]
• Un outil pour générer des mots de passe en fonction de données personnel [GIT HUB][EN]
• Cours du MIT disponible via le programme open source [EN]
• Retour d'expérience sur l'exploitation d'un XSS avec PhantomJS qui se transforme en SSRF et LFI [EN]