Twitter Facebook Google Plus Linkedin email

Milw0rm est mort, où trouver des exploits ?

Milw0rm n'est plus mis à jour depuis fin septembre, d'ailleurs on ne sait pas trop ce que fait str0ke, le webmaster du site en question, qui ne s'est pas prononcé là-dessus. Milw0rm était la référence en matière d'exploit.

Un exploit publié sur ce site était automatiquement diffusé vers de nombreux sites relatifs à la sécurité informatique. Hormis Offensive Security, peu de prétendants se sont présentés pour prendre la relève de milw0rm (Pourtant, il y avait gros à jouer en terme de référencement Web).

Heureusement, milw0rm n'est pas l'unique site recensant des exploits, voici une petite liste de sites et de frameworks toujours à jour, que j'ai pu glaner ici et là au fil du temps:

  • Offensive security : Le tout nouveau clone de milw0rm, espérons que ses créateurs puissent tenir la cadence.
  • Metasploit : On ne le présente plus, principalement orienté système et réseaux, il contient peu d'exploits web. svn update régulier indispensable pour le tenir à jour.
  • Security Focus : Il s'agit plus d'une base de vulnérabilités que d'une liste d'exploits, cependant les exploits y restent nombreux.
  • Packet Storm Security : Packetstorm est principalement connu pour ses petits scripts/tools de hacking mais le site tient également une base d'exploit et un fil RSS dédié à celle-ci.
  • sebug : J'ai découvert ce site hier, pas mal d'exploits dessus, mais aussi beaucoup de vulns.
  • Security Reason : Un site avec plusieurs flux RSS, dont un dédié aux derniers exploits. Ils ont d'ailleurs publié récemment un exploit bypass openbase_dir php drôlement sympathique :).
  • Bugtraq : Une mailing list, elle est intégrée au fil RSS de securityfocus on y retrouve principalement des annonces de correctifs de la part des éditeurs, mais il y a parfois des exploits.
  • Full Disclosure : Encore une mailing list, cette fois-ci avec beaucoup de trolls et quelques exploits 0day de temps en temps. Il y a parfois tellement de trolls que l'on peut passer à coté de ces petites perles :).

On peut ajouter à cette liste l'Open Source Vulnerability Database, le Common Vulnerabilities Exposures et la National Vulnerability Database qui recensent toutes les vulnérabilités existantes des logiciels et parfois des liens vers des exploits.

Bien entendu cette liste n'est pas exhaustive, si vous connaissez d'autres sites qui valent le coup n'hésitez pas à les signaler en commentaire.