Le petit monde d'un pentester

Il m'arrive parfois de regarder les logs Apache le soir au coin du feu.

Je dois dire que c'est rarement intéressant... il s'agit souvent des mêmes requêtes automatiques qui pourrissent l'espace libre de ma dédibox. Des inclusions Joomla en veux-tu en voilà lancées par des kiddies sur des machines complétement trouées depuis des pays de l'Est...

Bref peu de chances de trouver des exploitations sexy dans ses logs (heureusement...).

Quelques fois, il m'arrive aussi de regarder les referrers. C'est efficace pour connaître les requêtes Google qui ont rameutées des 'surfeurs' égarés sur mon site. Pourtant, là non plus pas grand chose de sexy! La plupart du temps les gens tapent "pentest" ou "pentester" (Cool c'est ciblé) ...

Voilà quand même une petite liste de recherches extravagantes. J'ai juste trié un fichier de logs récent (faut pas déconner non plus).

• la plus grosse pute du monde (C'est pas moi! Promis!... quoi que)
• les chaines tv libaon porno (Encore un consultant sécu qui se fait chier le soir)
• pinetration dans vagin maman (Du pine test déguelasse!)
• ray ban zencart (Carding with sun glasses!)
• bisounours escalade (Gros Calin en train de monter le gigantesque capitaine!)
• french pentesterz (We are spotted)
• lettre motivation RSSI (Le pauvre RSSI qui n'a pas d'inspiration).
• comment expliquer l'environnement dans une recette (Miam miam)
• Différence environnement Test Production frontpage (Le dernier mot tue tout).
• un fichier qui casse les mot de pass d'abonnement (Oh le piratin qui comprend rien!)
• ligne injecter crash telephonique (C'est du phreaking?)
• salaire d'un pdg fourchette (Je demanderais à mon papa ;-))
• salaire moyen d'un hacker professionnel (Faut demander à Linkou!)
• modele carte de visite expert judiciaire (Faudrait demander à Zythom)

Reste plus que les noms de domaines à éplucher, et là on trouve beaucoup plus d'informations sympas. Au bout d'un an, on arrive à se faire une vague idée des sociétés qui font des audits de sécurité en france

Essentiellement du bancaire, des services publics et des gros groupes du CAC40.

Bref tout ça juste pour vous faire part du véritable sujet de ce billet!

Les fautes d'orthographe dans des recherches Google verbeuses, c'est le mal! (dans les billets de blog c'est permis).

Pourquoi ça? Ben... on peut vous identifier à 2 kilomètres, surtout quand ça vient de 2 adresses différentes.

Voilà pour l'anecdote une jolie bourde:

xxxx.defense.gouv.fr - - 02/Apr/2010:13:29:48 +0200 "GET / HTTP/1.0" 301 - "http://www.google.fr/url?sa=t&source=web&ct=res&cd=1&ved=0CAYQFjAA&url=http%3A%2F%2Fwww.pentester.fr%2F&rct=j&q=le+petit+monde+des+pentester&ei=m9K1S8fSNcfP4gajo93QDg&usg=AFQjCNESBH0wzxN6Qu8uSS3gRxmy5GjN_Q" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"

LMontsouris-xxx-xxx-xxx-xxx.w80-xxx.abo.wanadoo.fr - - 02/Apr/2010:14:11:42 +0200 "GET /blog/ HTTP/1.1" 200 20338 "http://www.google.fr/url?sa=t&source=web&ct=res&cd=1&ved=0CAYQFjAA&url=http%3A%2F%2Fwww.pentester.fr%2F&rct=j&q=le+petit+monde+des+pentester&ei=m9K1S8fSNcfP4gajo93QDg&usg=AFQjCNESBH0wzxN6Qu8uSS3gRxmy5GjN_Q" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"

Un peu grillé quand même! Puis c'est pas tous les ADSL Wanadoo qui ont des interfaces VPN SSL Juniper

Pareil avec les différents plugins des navigateurs qui peuvent être verbeux dans les useragents (Version de plugins RSS ou autres plugins de téléchargement à la con)

Une petite erreur est si vite arrivée! Et on fait tous ce genre de fautes (ou pas)... Sniff :'-(

PS1: Vive les corrélations à la con qui permettent de faire des billets!
PS2: La vraie question c'est plutôt de savoir si le visiteur a eu le temps de rentrer chez lui en 30 minutes vers 14h... ou si la ligne sert à autre chose, mais chutttttttt