Archives

Les articles du mois de avril, 2016

piwikDisposer d’un système d’audit personnalisé pour plateformes webs, comme la suite Google Analytics par exemple, est une bonne chose. Pouvoir héberger sa propre plateforme d’audit, c’est mieux !

Les systèmes d’audit servent à recueillir des informations, plus ou moins précises suivant le paramétrage, sur les visiteurs d’un site internet ainsi que sur leur manière de le visiter. Ils vont séparer les habitués des nouveaux venus, les navigateurs utilisés ainsi que leurs extensions, le pays d’origine, ville, le temps passé sur le site, les pages vues,…pour constituer une base de données immense.

Piwik laptop

Toutes ces données, très utiles pour le webmaster, vont avoir de multiples avantages pour améliorer le site.

Coté technique, celui disposera d’informations en cas d’incompatibilités / bugs avec certains modules. Coté commercial, elles serviront de rapport de base pour estimer le tarif d’une publicité, son rendement. Coté social, elles renseigneront sur la manière d’aborder le site et les habitudes des internautes. Coté contenu, suivant les origines des visiteurs, celui-ci pourra être plus pertinent.

Il devient donc évident que ces données doivent être contrôlées afin de ne pas tomber dans de mauvaises mains. C’est ici qu’intervient l’avantage d’un Piwik hébergé par nos soins qu’un service cloud type Google Analytics.

En effet, dans le cas d’un service cloud, les données sont hébergées quelque part dans la toile et, bien que vous puissiez les consulter librement, vous n’en contrôlez rien! Avec Piwik, en plus d’être gratuit, vous récupérez ce contrôle des données car elles se trouvent chez vous !

Pour les fonctionnalités, Piwik dispose d’un large panel d’extensions disponible directement depuis l’interface elle-même ou par des installations tierces. Une application smartphone est également disponible afin de visualiser les résultats depuis son mobile. Sous condition évidente d’avoir configuré le serveur hébergeant Piwik d’être joignable depuis l’extérieur (sauf wifi interne).

Piwik mobile

Le système est disponible sur web-link leur site web

Une démo est disponible letter-h-icon dans le Hacklab

NB: Ne craignez rien, le système en démonstration dans le hacklab est configuré pour rester très vague sur les données récoltées (IP anonymisées, Localisation faussée, données et rapports supprimés automatiquement,…). Il n’y a donc rien à craindre pour vos données précieuses 😉

hackazon-650x200

Toujours eu l’envie de tester des petits scripts un peu fourbes sur des sites webs complexes ? Mais vous vous dites que ce n’est peut-être pas la meilleure idée du monde de tester sur eBay, Amazon ou encore Paypal ? Dans ce cas, Hackazon est pour vous !

Hackazon est un site web complexe s’apparentant à un site de vente classique et déjà peuplé d’une ribambelle d’informations de démo. L’intérêt dans tout cela ? Il vous permettra de tester vos scripts et/ou vous entrainer au PenTesting et ce, en toute légalité dans des conditions très proches de la réalité. Tout étant hébergé par vos soins, vous en faites ce que vous voulez !

Il propose une multitude de types de failles, qui peuvent être “activées/désactivées” via un panel de configuration (ou depuis un fichier plat) suivant l’étendue des tests que vous voulez effectuer.

hackazon1

Injections SQL, Cross-Site Scripting (XSS), cookie faker,…font partie du panel de vulnérabilités disponibles sur lesquelles vous allez pouvoir vous amuser de manière totalement sûre. Ce site se trouve donc très utile dans l’apprentissage au PenTesting, que ce soit dans le cadre de cours ou dans un cadre de tests personnels.

Les sources du projet sont disponibles sur web-link Github

Un site démo est prêt dans le letter-h-icon Hacklab

!! Dans le cadre des tests Hackazon sur le hacklab, restez conscient de ne pas introduire de données personnelles, ni de mots de passes que vous utilisez ailleurs de par la nature même du système. Un environnement de test public implique une attention particulière. Si vous n’êtes pas certain de ne pas avoir l’attention nécessaire, ne vous enregistrez pas sur le Hackazon du Hacklab. Vous aurez toujours accès à la démonstration mais de manière plus limitée.

glpi2

Il n’est pas toujours évident de suivre l’état d’un parc informatique en constante évolution et ce, sans devoir dépenser pour des logiciels vendus au prix fort. GLPI (Gestion Libre de Parc Informatique) est une solution d’inventaire relativement complète et surtout, gratuite !

Son utilisation ne consomme pas beaucoup de ressources (un serveur LAMP/WAMP suffit) et dispose d’une interface web plus que convenable. En plus d’être un inventaire assez puissant, il intègre également des outils de “process-tracking”, de support et de gestion de ressources humaines; tout en un le petit !

glpi

Propulsé par une communauté active, il dispose d’un très large éventail d’extensions permettant, par exemple, la gestion/création de code barre, gestion visuelle de rack, gestion de la consommation électrique, des fiches de paies,…Tout le monde finit par s’y retrouver !

Pour aller encore plus loin, il est même possible d’y intégrer un système de monitoring externe (!). Concrètement, GLPI envoie des requêtes de catalogues (pré-programmés par vos soins) au système de monitoring qui lui retournera ses valeurs et voilà, une interface complète de monitoring directement dans GLPI. Combinons à cela un remplissage automatisé (cfr OCSinventory ou FusionInventory) et la chaîne est automatisée de A à Z.

view_call_resources

Si vous souhaitez plus d’informations à ce sujet, vous pouvez jeter un œil à mon travail de fin d’étude qui s’y attarde en long et en large ainsi que sur les procédures à suivre web-link TFE – GLPI/Shinken/OCS

De plus, si vous vous sentez l’âme d’un développeur ou en êtes un, rien ne vous empêche de créer vos propres extensions (ou de reprendre/continuer des existantes) suivant les besoins de votre entreprise. Un bon nombre d’extensions n’attendent qu’à être maintenue à nouveau.

Les sources sont disponibles sur web-link le site du projet

GLPI est en démonstration sur le letter-h-icon Hacklab
Utilisateur: anitguy / Mot de passe: Dmo4lifeofanitguy

owncloud

Si vous êtes à la recherche d’une alternative aux systèmes type Google Drive, DropBox, OneCloud, HubiC,…Owncloud peut s’avérer être votre alternative. Si je dis bien “votre”, c’est simplement parce qu’il s’héberge sur vos propres plateformes vous permettant de garder le contrôle des données que vous y déposez.

Owncloud vous donne la possibilité de créer et héberger vos propres services de partage de fichiers en local ou sur des serveurs dédiés. Le système est performant, simple d’utilisation et intègre pas mal d’options qui sont parfois manquantes dans les autres plateformes. Vous y retrouverez une page récapitulative de tous les fichiers et dossiers envoyés par vous ou vos utilisateurs avec la possibilité de gérer les droits d’accès, modifier certains fichiers ou encore créer des liens de partage et le tout, directement depuis votre navigateur préféré.

capture-owncloud

Il peut également être utilisé lors de projet en commun. Un système de calendrier, de sketch, de liste de tâches à accomplir sont disponibles. Via des extensions, il est aussi possible de transformer OwnCloud en lecteur Audio/Video par simple ajout de fichiers compatibles, par exemple. Une grande communauté continue de faire vivre le projet par l’entraide sur les forums et la création d’extensions ajoutant de nouvelles fonctionnalités offrant ainsi de plus en plus de possibilités d’utilisation. Un client pour smartphone officiel est disponible sur les stores respectifs.

cloudlws-application-mobile

Toutefois, bien que ce système soit gratuit, l’application pour smartphone, elle, est payante pour 1€ (pas de quoi grimper aux rideaux).

 

Les sources  sont disponibles sur web-link leur site web

Démonstration de Owncloud disponible dans le letter-h-icon Hacklab
Utilisateur: anitguy / Mot de passe: Itsmycloudm8