w3af

Audit de sécurité dans le web

Chaque jour de nouveaux sites sont piratés. Les failles sont + ou – connues, souvent les mêmes, mais lors du développement est il facile de s’en prémunir ?

Dans chaque développement web, il y a une partie spécifique qui est soit une partie provenant d’un site tiers (par ex: module drupal), soit d’un développement personnel. Dans les 2 cas , il est possible que le développeur ai omis de bien valider ses variables POST/GET (pour s’assurer qu’il n’y ai pas du code html dedans ou une injection sql). Pour rappel, il est très facile de modifier une partie de la page, de modifier un champ caché, voir de le supprimer depuis la page, puis de poster le formulaire. L’extension firebug très utile au développement est aussi là pour ca.
Cependant, aujourd’hui, je vais vous parler d’une autre méthode bien plus efficace et qui vous permet de vous assurer que votre site est sécurisé à 99%.

Cette méthode s’appelle w3af (Web Application Attack and Audit framework). Pour l’essayer, il vous faut un poste sous Linux. Vous lancez alors l’interface , vous indiquez l’url du site, puis vous cliquez sur Start. Plusieurs paramètres vous permettent de tester différentes failles/ de brutefocer les formulaires, de découvrir des entrées de votre site que vous aviez oublié. Bref, installez vous un VMWare avec un ubuntu, et testez ce framework, vous m’en direz des nouvelles. Après avoir vu le travail de nombreux développeurs web (souvent confronté à un planning difficile), je ne m’étonne que peu de voir autant de failles dans la nature. Ne soyez pas de ceux là !

http://w3af.sourceforge.net/
w3af

Laisser un commentaire

*