{"id":1315,"date":"2025-10-06T12:31:28","date_gmt":"2025-10-06T10:31:28","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/payloads-all-the-things-la-ressource-preferee-des-hackers-ethiques\/"},"modified":"2025-10-06T12:31:28","modified_gmt":"2025-10-06T10:31:28","slug":"payloads-all-the-things-la-ressource-preferee-des-hackers-ethiques","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/payloads-all-the-things-la-ressource-preferee-des-hackers-ethiques\/","title":{"rendered":"Payloads All The Things – La ressource pr\u00e9f\u00e9r\u00e9e des hackers \u00e9thiques"},"content":{"rendered":"

En octobre 2016, un d\u00e9veloppeur suisse connu sous le pseudo swisskyrepo<\/strong> a commenc\u00e9 \u00e0 compiler ses notes de pentester dans un d\u00e9p\u00f4t GitHub. Rien de r\u00e9volutionnaire au d\u00e9part, juste un mec qui en avait marre de chercher la m\u00eame injection SQL pour la 50\u00e8me fois dans ses notes. Mais ce qui est cool c\u2019est qu\u2019au fur et \u00e0 mesure des ann\u00e9es, il a structur\u00e9 \u00e7a proprement avec une section par type de vuln\u00e9rabilit\u00e9, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets\u2026etc.<\/p>\n

\u00c7a s\u2019appelle Payloads All The Things<\/strong>,
\net c\u2019est accessible ici<\/a>
\n.<\/p>\n

Ce qui \u00e9tait donc au d\u00e9part un simple carnet de notes personnel est devenu THE r\u00e9f\u00e9rence mondiale en cybers\u00e9curit\u00e9 offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C\u2019est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la s\u00e9curit\u00e9 offensive, celle qu\u2019on cite dans tous les cours de certification OSCP, celle qu\u2019on consulte pendant les CTF, celle qu\u2019on recommande aux d\u00e9butants\u2026<\/p>\n

Avant PayloadsAllTheThings, le savoir en cybers\u00e9curit\u00e9 offensive \u00e9tait soit verrouill\u00e9 dans des formations hors de prix \u00e0 5 000 boules, soit \u00e9parpill\u00e9 dans des recoins obscurs du web, soit jalousement gard\u00e9 par des pentesters qui p\u00e8tent plus haut que leur cul\u2026 Des p\u00eat-testeurs quoi\u2026<\/p>\n

SwisskyRepo a d\u2019ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible \u00e0 tous. Et le contenu, c\u2019est du lourd !<\/p>\n

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL\u2026), XSS avec les bypasses de filtres, SSRF avec les techniques d\u2019exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks\u2026etc\u2026 La liste est hallucinante.<\/p>\n

Chaque section est structur\u00e9e comme un cookbook technique avec le contexte de la vuln\u00e9rabilit\u00e9, les payloads class\u00e9s par type, les bypasses pour contourner les protections, des exemples concrets, et les r\u00e9f\u00e9rences vers les CVE ou les articles de recherche.<\/p>\n

Par exemple, si vous voulez exploiter un serveur Redis mal configur\u00e9, il y a une section pour \u00e7a. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez \u00e0 pivoter dans un r\u00e9seau interne apr\u00e8s avoir compromis une machine, tout est document\u00e9 en anglais sur ce site.<\/p>\n

Mais swisskyrepo ne s\u2019est pas arr\u00eat\u00e9 l\u00e0. Son projet a mut\u00e9 en \u00e9cosyst\u00e8me puisqu\u2019il a aussi cr\u00e9\u00e9
\n InternalAllTheThings<\/a>
\n, un wiki d\u00e9di\u00e9 au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques\u2026).<\/p>\n

Et \u00e9galement
\n HardwareAllTheThings<\/a>
\n, le m\u00eame genre de wiki mais sur la s\u00e9curit\u00e9 hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID\/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire\u2026<\/p>\n

Bref, tout ce qu\u2019il faut savoir pour hacker des objets connect\u00e9s, des cartes \u00e0 puce ou des syst\u00e8mes embarqu\u00e9s.<\/p>\n

Du coup, avec cette famille compl\u00e8te de \u201cAllTheThings\u201d, on couvre toute la surface d\u2019attaque moderne, le web, l\u2019infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?<\/p>\n

Bien, s\u00fbr c\u2019est \u00e0 utiliser dans un cadre l\u00e9gal, sinon, vous irez en prison ! C\u2019est pas un forum de script kiddies qui \u00e9changent des zero-days vol\u00e9s, c\u2019est une vraie biblioth\u00e8que technique pour les professionnels et les \u00e9tudiants en cybers\u00e9curit\u00e9.<\/p>\n

Gr\u00e2ce \u00e0 \u00e7a, un \u00e9tudiant motiv\u00e9 peut devenir comp\u00e9tent en s\u00e9curit\u00e9 offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conf\u00e9rences enregistr\u00e9es (DEF CON, Black Hat) pour rester \u00e0 jour.<\/p>\n

Le savoir se lib\u00e8re, n\u2019en d\u00e9plaise aux relous ! Moi je trouve que c\u2019est cool, car \u00e7a vulgarise les connaissances, \u00e7a les mets \u00e0 la port\u00e9e de tous et c\u2019est tant mieux.<\/p>\n

Donc un grand merci \u00e0 SwisskyRepo d\u2019avoir lanc\u00e9 ce projet !<\/p>\n","protected":false},"excerpt":{"rendered":"