Pentesterlab, un site d’entrainement au pentesting

Pour tous les intéressés et les débutants dans le monde du pentesting, je vous présente aujourd’hui le site pentesterlab qui est une initiative que je souhaite mettre en avant. Ce site propose gratuitement des VMs et des cours de pentesting, ces machines virtuelles peuvent être utilisées dans le cadre de mise en pratique de cours qui sont distribués sur le même site, ce qui permet de comprendre et de tester les vulnérabilités expliquées. Ce ne sont pas des VMs comme en propose Vulnhub (un site qui propose des machines virtuelles pour les tests d’intrustion) qu’il faut tenter d’attaquer mais plutôt des VMs contenant un ensemble de pages web permettant de mettre en application les cours qui sont proposés.

Le cours sur lequel je suis actuellement (Web for pentester) propose par exemple une dizaine de pages par faille et vulnérabilité, on peut alors commencer de zéro sur les failles XSS, SQL, … Les cours sont assez didactiques et donnent juste assez d’informations sur ce qu’il y a à chercher comme faille. Chaque chapitre contient une image ISO qu’il faut utiliser via un logiciel de virtualisation (VirtualBox ou VMware Player/Workstation) ainsi qu’un PDF qui est un support à l’utilisation des machines virtuelles.

pentesterlabLes cours PDF fournis avec les machines virtuelles sont complets dans les thématiques qu’ils abordent, on commence par exemple pour “web for pentester” sur un rappel du fonctionnement du web, des serveurs web, de leurs composants ainsi que le fonctionnement du protocole HTTP. On passe ensuite aux différents chapitres concernant les failles autour de l’HTTP qui peuvent être mises en pratique via ce que contient la VM. Il existe par exemple 8 exercices sur le XSS qui commencent sur une application très basique d’exploitation, cela se complique au fur et à mesure des sécurités mises en place par “l’adminisrateur” pour se défendre. On est donc forcé de réfléchir avec la base qui nous est fournie pour contourner chaque sécurité.

Il existe, au moment de l’écriture de cet article une quinzaine de cours qui sont triés sur trois niveaux de difficulté. On trouve par exemple :

  •  Introduction to Host Linux Host Review
  •  CVE-2012-2661 : Active record SQL injection
  •  Web For Pentest
  •  XSS and Mysql File
  • etc.

Ce sont donc des exercices plutôt orientés pentest web mais pas uniquement. Ce site contient un espace “bootcamp” (camp d’entraînement). Les auteurs du site nous proposent alors un planning sur 14 semaines nous permettant de nous former aux bases du pentesting, un programme par semaine est proposé avec un ensemble de notions à étudier, par exemple pour la semaine 1, il faut étudier le protocole HTTP, le fonctionnement du Whois et du protocole DNS. On doit également installer une machine virtuelle Linux et s’essayer aux langages de programmation Ruby, Perl ou Python. Sans être des cours très précis, le bootcamp est une sorte de ligne directrice qui sera extrêmement utile pour guider les autodidactes. On ne sait souvent pas par quoi commencer lorsque l’on aborde une notion aussi vaste et ce genre d’initiative est très utile.

Enfin, une partie blog (peu mise à jour) nous permet de nous tenir au courant des avancées du site et de lire d’autres suggestions pour s’entraîner au pentest. Un site très intéressant et une initiative à mettre en avant sur le web, les cours sont très bien expliqués et ont le mérite d’être disponibles librement.  De plus, les auteurs donnent explicitement la permission aux formateurs et enseignants d’utiliser le contenu du site pour des formations sur la sécurité.

Bonne visite ! http://pentesterlab.com

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *