afin d'améliorer cette documentation.
Concernant les articles, certains d'entre eux sont rédigés par mes soins en français ou en anglais, mais une grande partie provient de sources diverses que j'ai sélectionnées pour leur utilité. Ces articles sont tirés de sources publiques et peuvent donc être copiés ou réutilisés librement. Ils sont principalement regroupés ici pour centraliser tout ce qui peut être utile de manière générale ou pour archiver les solutions aux problèmes que j'ai rencontrés, en cas de besoin futur.
# Cloud Service Providers Free Tier Overview
Comparing the free tier offers of the major cloud providers like AWS, Azure, GCP, Oracle Cloud etc.
## 1. AWS
Homepage: [AWS Free Tier](https://aws.amazon.com/free/)
### Always Free
- Amazon DynamoDB (NoSQL): 25 GB of storage
- AWS Lambda (FaaS): 1 Million free requests per month
- Amazon SNS: 1 Million publishes
## 2. Azure
Homepage: [Azure Free Tier](https://azure.microsoft.com/en-us/free/)
### Free for Limited-time
- US$200 credit for 30 days
- Popular services free for 12 months
### Always Free
- 54+ other services free always
## 3. Google Cloud
Homepage: [Google Cloud Free Tier](https://cloud.google.com/free/docs/gcp-free-tier)
### Always Free
- Compute VM: 0.25 vCPU, 1 GB RAM (only on us-west1, us-central1 and us-east1)
- 30 GB of standard persistent disk
- 1 GB of network egress (except China and Australia) - in premium tier
- 200 GB of network egress to any region in standard tier. (Comes with increased latency of around 20%.)
- BigQuery (SQL): 1 TB of querying per month and 10 GB of storage each month
- Cloud Storage: 5 GB-months of regional storage (US regions only) per month
## 4. Oracle Cloud
Homepage: [Oracle Cloud Free Tier](https://www.oracle.com/cloud/free/)
### Free for Limited-time 30 day free trial
- US $300 credit for 30 days
- Up to eight instances across all available services
- Up to 5 TB of storage
### Always Free
- Compute: (Note- [1 Oracle OCPU = 2 vCPUs](https://blogs.oracle.com/cloud-infrastructure/post/vcpu-and-ocpu-pricing-information))
- 2 AMD-based VMs: 1/8 OCPU = 0.25 vCPU with 1 GB RAM each
- 4 Arm-based VMs: 24 GB RAM total, 3,000 OCPU hours and 18,000 GB memory hours per month
- 2 Block Volumes Storage, 200 GB total
- 10 GB Object Storage - Standard
- 10 GB Object Storage - Infrequent Access
- 10 GB Archive Storage
- 10TB of network data egress/month per originating region
- Resource Manager (managed terraform)
- 5 OCI Bastions
- 2 Oracle Autonomous Databases incl. Oracle Application Express (APEX), Oracle SQL Developer etc., each with 20GB storage
- NoSQL Database with 25GB storage per table, up to 3 tables
- 4 Load Balancers: 1 Flexible (10Mbps) and 3 Network
- Monitoring and Notifications
## 5. Alibaba Cloud
Homepage: [Alibaba Cloud Free Trial](https://www.alibabacloud.com/campaign/free-trial)
Try Over 40 Products for Free Worth $450-$1300 USD.
Now up to 12 Months Usage for Elastic Compute Services.
## 6. IBM Cloud
Homepage: [IBM Cloud Free Tier](https://www.ibm.com/uk-en/cloud/free)
### Free for Limited-time
- US$200 credit for 30 days
## 7. DigitalOcean
Homepage: [DigitalOcean](https://www.digitalocean.com/)
### Free for Limited-time
- $100 credit for 60 days from [do.co/hf100](https://do.co/hf100)
## 8. Hetzner Cloud
Homepage: [Hetzner Cloud](https://hetzner.cloud)
### Free for Limited-time
- sometimes they give away free credits
## 9. Render
Homepage: [Render](https://render.com/)
### Free for Limited-time
- sometimes they give away free credits
### Always Free
- static site hosting
- web service
- Redis
- PostgreSQL
-
- 0.1vCPU, 512MB of RAM, 100GB bandwidth, running time of 750 hours per month
## 10. Netlify
Homepage: [Netlify](https://www.netlify.com/)
### Free for Limited-time
- sometimes they give away free credits
### Always Free
- static site hosting
## 11. JFrog
Homepage: [Jfrog Free Tier](https://jfrog.com/platform/free-trial/)
### Free for Limited-time
- Self-Hosted 30 day trial
### Always Free
2GB Storage
10GB Transfer/month
2,000 CI/CD Minutes/month
## 12. Salesforce
Homepage: [Salesforce Free Tier](https://www.salesforce.com/in/form/signup/freetrial-sales)
### Free for Limited-time
- Your FREE 30-Days Trial Now!
### Always Free
When you download Listware for Salesforce, you are given 1,000 free credits which you can use during a free 30-day trial of the app.
## 13. OpenShift
Homepage: [Interactive Learning Portal](https://learn.openshift.com/)
### Try out Openshift 4 cluster for free
Openshift 4: [Try Openshift 4 cluster for free](https://www.openshift.com/try)
## 14. Linode
Homepage: [Linode](https://www.linode.com)
### Free for Limited-time
- US$100, 60-day free trial requires valid credit card. [free-credit-100](https://www.linode.com/lp/free-credit-100)
## 15. Container Hosting Service
Homepage: [Container Hosting Service](https://container-hosting.anotherwebservice.com/)
### Currently Free
- Container Hosting Service [Try Open Source Container Hosting Service for free](https://container-hosting.anotherwebservice.com/)
## 16. Cloudflare
Homepage: [Cloudflare](https://www.cloudflare.com/plans/)
### Always free on basic plan:
- NS server with DNS delegation
- 10GB R2 - S3 compatible object storage
- D1 - serverless SQL database
- CDN for delegated domains
- SSL offloading
- Web Application Firewall
- Workers & Pages - serverless functions
## 17. OVHcloud
Homepage: [OVH](https://www.ovhcloud.com)
### Free for Limited-time
[200€ or equivalent on all public cloud ressources for 30 days](https://www.ovhcloud.com/en-ie/public-cloud/)
### Always free
- Mongo DB 512 MB (with replication): https://www.ovhcloud.com/en/public-cloud/mongodb/
## 18. Tencent Cloud
Homepage: [Tencent Cloud](https://www.tencentcloud.com/campaign/freetier)
Multiple alternative server locations for hosting in Asia: Shanghai, Nanjing, Guangzhou, Beijing, Chengdu, Chongqing, Hong Kong, Seoul, Tokyo, Singapore, Bangkok, Jakarta, Silicon Valley, Frankfurt, Mumbai, Virginia, São Paulo, Toronto
### Free for Limited-time
- [$300 voucher, 30-day trial](https://www.tencentcloud.com/campaign/promotions)
### Always Free
- Elastic Network Interface (ENI)
- Virtual Private Cloud (VOC)
- Auto Scaling (AS)
- VPN connections
## 19. Vercel
Homepage: [Vercel](https://vercel.com/pricing)
### Always free
- Support for 35+ Frameworks
- Fast Globally (Edge Network)
- Automatic CI/CD (Git Integration)
- Functions (Serverless, Edge)
- Starter Database (KV, Postgres)
- Web Analytics
## 20. Zeabur
Homepage: [Zeabur](https://zeabur.com/pricing)
### Always free
- Serverless functions and static sites
- 10GB outbound data transfer per month
### Always free for developer plan
- 100GB outbound data transfer per month
- US$ 5 usage fee per month
# Pen Test - Test d'intrusion
## **Le Pen Test :**
**Le test d'intrusion peut être employé pour différentes cibles :**
- Une adresse IP
- Une application
- Un serveur Web
- Un réseau complet
- Identifier les vulnérabilités de son système d'information ou de son application
- Évaluer le degré de risque de chaque faille identifiée
- Proposer des correctifs de manière priorisée
- La sévérité de la vulnérabilité
- La complexité de la correction
- L'ordre de priorité qu’il faut donner aux corrections
- Durant la **conception** du projet
- Pendant la phase d'utilisation du composant ou du réseau (à intervalle régulier)
- Suite à une cyberattaque
- Interne
- Test d'intrusion depuis le réseau local
- Externe
- Test d'intrusion depuis internet
- Le test en **boite noir**
- Le testeur n'as **aucune information sur le réseau** au début du test, il ne connait pas non-plus de mots de passes ou d'identifiants. Il va donc rechercher des informations sur l'entreprise en général pour l'aider à trouver des vulnérabilités.
- Le test en **boite grise**
- Le testeur dispose uniquement d'un **couple identifiant/mot de passe** que l'entreprise cible lui a fourni avant de démarrer la phase de test.
- L'objectif de ce test c'est de se mettre dans la peau d'un utilisateur "normal" au sein de l'entreprise cible.
- Le test en boite blanche
- Le testeur dispose de nombreuses informations comme des schémas d'infrastructure, le code source de l'application. La recherche de faille est donc très approfondie et très compète.
- **Linux**
- Kali Linux (regroupe l'ensemble des outils nécessaires pour procéder au test de sécurité d'un système d'information)
- Nmap (détecte les ports ouverts)
- Wireshark (analyse les trames réseau)
- Metasploit (fourni des informations sur les vulnérabilités des systèmes d'information et qui les exploites)
- Burp suite (sécurisation ou test d'intrusion des applications web)
- **Windows**
- De nombreux logiciels similaires à ceux évoqués ci-dessus sont disponible sur Windows.
- **Android**
- Des outils très performants sont disponibles sur Android
- zANTI
- FaceNiff
- AndroRAT
- cSploit
- Un Serveur
- Une partie d'un réseau
- Une IP publique
- Plusieurs IP publiques
- L'ensemble du réseau Interne
Avant de faire quoi que ce soit, il faut s'assurer de contracter avec l'entreprise cible pour ne pas avoir de problèmes juridiques ! Le document se nomme "mandat d'autorisation de test de pénétration"
**Différentes attaques :**
- DOS
- DDOS
- WEB
- **Utilisation de failles connues**
- **Technique de l'homme du milieu**
- L'utilisation de la technique de l'homme du milieu ou man-in-the-middle attack. Cette attaque consiste à se positionner au milieu dans la communication entre un client et un serveur pour intercepter et modifier les paquets échangés entre les deux machines. Le logiciel « Burp suite » permet de le faire.
- **Forge de paquets HTTP**
- Cette technique consiste à écrire manuellement des requêtes HTTP, qui vont ensuite être envoyées au serveur. Ces requêtes seront non standards, avec des malformations qui peuvent générer des plantages sur le serveur Web. Le logiciel Wfetch intégré à Microsoft IIS permet de le faire.
- **Intégration de paramètres**
- Ici, nous pouvons ajouter ou modifier des paramètres dans les chemins HTTP qui seront mal interprétés par le serveur et qui permettront de l'exploiter. Aucun logiciel n'est nécessaire car c'est faisable manuellement.
- **Cross-site scripting ou XSS**
- Le cross-site scripting ou XSS. C’est un type de faille de sécurité de sites Web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs Web visitant la page. Par exemple, sur un serveur vulnérable, dans une zone où les utilisateurs peuvent poster un commentaire, si l'on rajoute la suite de caractères <script>alert("This Website has been hacked")</script> au prochain affichage de la page, un script s’exécutera à la place d’afficher le commentaire.
- **Injection SQL**
- Outil sur Kali : BSQL
- Ingénierie Sociale
- Création de site clone via Kali : social engineering toolkit
- Scan : insider, wifi analyser, Lnissid.
- Injection de trafique : AiroDump, Rmon
- Écoute et enregistrement du trafique : WireShark
- Décryptage de clés : Cain&abel, Aircrack-ng
- Pare-feu
- IDS
- IPS
- Honeypot = Simule des machines d'un réseau informatique (c'est un leurre)
- KFsensor
- Snort
- Nmap et Hping3 (gestion de fragmentation d'une attaque pour ne pas qu'elle soit identifiée)
- HTTP Host (côté serveur) et HTTP Port (côté client) = Établie un tunnel HTTP
- DNS2TCP = Établie un tunnel DNS
- Métasploit = Optenir et maintenir l'accès à distance sur une machine à l'intérieur d'un réseau cible
On va chercher la dernière version de NESSUS : [https://www.tenable.com/downloads/nessus?loginAttempted=true](https://www.tenable.com/downloads/nessus?loginAttempted=true)
**Puis on va installer le packer :**
Si il y avait eu des vulnérabilités, on aurait été informés sur la façon de résoudre les problèmes de sécurité.
**Utiliser The social engineering toolkit :**
Pour lancer cette applications nous allons dans l'outils recherche, 13 - Social Enginering Tools.
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/gEcu5vZHEla9A6gc-image-1635198035390.png)
**En suite, nous devons accepter les termes du contrat :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/p58LkRdeqdFRSLJp-image-1635198088150.png)
**Puis nous allons sélectionner l'option une :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/MGELXgxDSZelMlhb-image-1635198163646.png)
**Et puis, l'option 2 :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/f4RzNXxdbctzZyYy-image-1635198199454.png)
**Puis, l'option 3 :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/ZgYTk5QN3vCXy4tF-image-1635198247646.png)
**Et enfin l'option 2 :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/SxCPngip4IFXSROn-image-1635198272113.png)
**Et puis on spécifie l'url à cloner :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/Uzo9Nb0Phsjsf7Xj-image-1635198921298.png)
Pour ne pas avoir de problème j'ai choisi un site qui m'appartient personnellement !
**Résultat :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/LaIOjyMUjiXUz5IF-image-1635198933163.png)
**Utiliser MSFConsole pour accéder au Shell via une vulnérabilité :**
```
service postgresql start
msfconsole
```
**On recherche un exploit :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/cbrBabB6DYNLo9rt-image-1635200830087.png)
```
search distcc
```
**On utilise l'exploit :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/wBYYE7wGmDR7EbA8-image-1635200911086.png)
**On va ensuite lister les payloads :**
```
show payloads
```
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/rY8b7xKQxz2r22cy-image-1635200962379.png)
**On choisie un payload :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/Z4us8gN3MrX3t1l5-image-1635201084576.png)
**On affiche les paramètres :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/J1CW7p9Lb2aika9W-image-1635201122326.png)
**Je définie l'adresse cible :**
[](https://doc.vainsta.fr/uploads/images/gallery/2024-11/GJjEOs7EzQTLUD1e-image-1635201178280.png)
Dans cette exemple je me choisi moi-même !
**Lancement de l'exploit :**
```
exploit
```
## **Rapport de Pen Test :**
**Critères d'évaluations :**
- Sévérité
- Standard CVSS
- Complexité
- Facile
- Modérée
- Complexe
- Priorité
- Urgente
- Standard
- Basse
- DSI
- Responsable système et réseau
- Équipes d'informatiques
- Prestataires
Le rapport doit donc être rédigé de telle façon à ce qu'une personne ne possédant pas de capacité techniques poussée comprenne son contenu !
**Structure :**
- Format = PDF 10 pages
- Document confidentiel
- Rédigé en français ou en anglais
- Sommaire
- Contexte et périmètre
- Conditions du test internet / externe
- Méthodologie de test
- Axes d'évaluations
- Résultats
- Synthèses