Using Google bq CLI, the following command allows to get the top Pypi keywords from the bigquery-public-data.pypi.distribution_metadata table:
bq query --use_legacy_sql=false 'SELECT keyword, COUNT(*) as keyword_count FROM `bigquery-public-data.pypi.distribution_metadata`, UNNEST(SPLIT(keywords, ", ")) as keyword GROUP BY keyword ORDER BY keyword_count DESC LIMIT 100'
Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur
la page de ce projet OWASP
, et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.
Et c’est génial !!
Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.
WebGoat
, c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.
Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !
D’après la doc officielle
, WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.
Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.
Et pour installer tout ça, le plus simple c’est Docker :
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat
Ou si vous préférez la version standalone avec Java :
Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !
Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les
prepared statements
pour éviter ce genre de conneries.
Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).
Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.
Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.
D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).
Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.
Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!
Franchement merci beaucoup pour ces vidéos. J'ai maintenant fini de suivre tout le cours et c'est vraiment ce genre de cours que je cherchais depuis longtemps. C'est une explications simple mais très complète de la physique quantique. Il y a 'tout ce qu'il faut, sans être obligé d'apprendre le (ou les) formalisme mathématique qui décrit la mécanique quantique.Trop souvent je vois de la vulgarisation trop simpliste, ou alors il faut carrément fait un cours universitaires complet pour aller plus loin. Là il y a le juste milieu.
J'ai appris beaucoup, notamment des points que je n'avais jamais entendu auparavant, comme le fait que l'énergie n'existe pas vraiment au niveau quantique ! C'est une représentation émergente, avec des conditions de transformation. Wouah. Ça me questionne sur le formalisme mathématique que l'on utilise. On devrait aller au delà des équations et décrire la physique quantique avec du code informatique, comme pour les transformations avec la conservation de l'énergie, on place les conditions pour garantir la conservation de l'énergie.
Puis j'ai découvert avec votre magnifique explication de l'expérience d'Alain Aspect que la non localité n'est pas la seule conclusion que l'on peut faire, mais que la rétro-causalité est aussi envisageable ! Très intéressant. C'est là que l'on voit que la vidéo date d'il y a 5 ans déjà et que depuis Aspect a reçu le prix Nobel.
Depuis j'ai aussi eu l'occasion de creuser la théorie de l'espace temps flexible de Philippe Guillemant, et je dois dire que j'aime bien l'idée du fonctionnement du temps un peu comme la métaphore du GPS avec un futur déjà conçu pour nous mener à une destination, mais modifiable hors de l'espace temps pour changer la destination et bifurquer sur un autre futur possible. On a ici une rétrocausalité qui me semble pas du tout problématique. Je ne vois pas d'obstacle majeur à voir ainsi l'expérience d'Aspect nous ouvrir la voie à la rétrocausalité plutôt qu'à la non localité. (voir les deux !!)
C'est aussi grâce à votre explication que j'ai compris le principe de fonctionnement d'une chambre à brouillard ! merci.
Dans votre cours, j'ai aussi beaucoup aimé la fin avec les différentes explications des interprétations de la mécanique quantique. Ce point n'est jamais abordé dans les vulgarisations ! C'est dommage. On voit ici que LA physique quantique n'existe pas. Mais que l'on a une série d'expériences qui nous montrent des faits. Que l'on a des principes de base comme la quantification. (qui a donné son nom à la "quantique") mais que le sens que l'on donne à tout ces faits ne fait pas consensus. Il y a l'interprétation de Copenhague qui est certes majoritaire. Mais là on comprend le flou autour de la physique quantique, quand la plupart des physiciens ne sont pas d'accord entre eux sur le sens de tout ça !!
Perso, j'ai un faible pour l'interprétation relationnelle de la mécanique quantique. Comme vous jusqu'à la préparation de ce cours, si j'ai bien compris. Vous dites que c'est à cause du "flou" du pourquoi du choix d'une particule ou d'une autre dans ce modèle que finalement cette interprétation ne vous convient plus tant que ça.
Là je rebondis sur l'idée de la rétrocausalité, c'est peut être une cause du futur qui nous influence dans le choix !? A méditer.
En tout cas c'est peut être une déformation professionnelle liées à mes connaissance sur les bases de données relationnelles, mais j'ai l'impression qu'on a ici un fonctionnement relationnel similaire.
Dans une base de données relationnelle on pratique la superposition d'état. Le temps n'existe pas. On a toute les données potentielles en même temps et ce n'est que lorsque l'utilisateur (l'observateur) paramètre et lance une requête SQL que l'on crée des jointures entre les tables qui représentes les objets et qu'on créer un ordre de représentation des données et une contextualisation des donnée en fonction de critères passé en paramètre. On linéarise les données pour les lire, d'une certaine manière on crée le temps. On manifeste une seule réalité à partir d'un énorme ensemble de potentialité. L'ordre dans lequel on fait les jointures entre les tables a aussi son importance comme en physique quantique.
Donc contrairement à ce qui est souvent avancé en vulgarisation, perso avec ce genre d'analogie, la physique quantique me semble intuitive. Ce qui est dur c'est le formalisme mathématique !
A cogiter... merci
Connexion
