Ca bouge pour les amateurs de failles Web:

http://www.csnc.ch/misc/files/publications/the_onion_router_v1.0.pdf ce papier montre que l'on peut se placer en noeud de sortie (exit node) pour TOR, voir passer tout le trafic, modifier des requetes (je sais c'est pas nouveau, mais là c'est assez clair), pour rajouter du contenu dans les pages web à la volée (tel que Flash, Real, etc). Ce contenu, interprété par le navigateur, à pour but de forcer ce dernier ou l'add-on correspondant à contourner le tunnel TOR et ainsi révéler l'IP source. La papier montre par exemple comment faire des sockets avec Shockwave.

http://www.goolag.org pour ceux qui se souviennent du Cult of the Dead Cow (Back Orifice & co)... Un outil automatisant le Google hacking (mieux que celui de Foundstone, je suppose) et l'utilisation des dorks.

Enfin webapp_threats_and_countermeasures_v2.1.zip contient une matrice (en Allemand) sur les menaces du web. Utile comme checkliste.