IL SEMBLE QUE VOUS UTILISEZ ADBLOC POUR BLOQUER LA PUBLICITÉ, AUCUNE PUB INTRUSIVE SUR FDZ ET PAS DE POPUP
FDZ EST GRATUIT DONC MERCI DE DÉSACTIVER VOTRE ADBLOCK ET DE BIEN VOULOIR PARTICIPER ET JOUER LE JEU


PAR SUITE D'ABUS LES SERVEURS CCCAM ET ABONNEMENT NE SONT PAS TOLÉRÉS SUR LE FORUM


Page 1 sur 4 1234 DernièreDernière
Affichage des résultats 1 à 10 sur 31
Share |

Discussion: Audit sécurité de sites web, quels outils?

  1. #1
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut Audit sécurité de sites web, quels outils?

    Salam,

    Pour faire un audit de sécurité d'un site web il faut analyser le code et tester les possibilités d'intrusion et d'injection de code.

    Quels outils utilisez-vous pour réaliser les test d'injection? (je connais quelques uns comme wapiti mais je voudrais avoir les avis de personnes qui ont l'habitude de réaliser ce genre d'audit)

    Y a t-il des outils pour rechercher des vulnérabilités dans le code?

    Merci et A++

  2. #2
    Date d'inscription
    juillet 2008
    Messages
    262
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    franchement, les softs pour ce genre de choses ne sont pas interessants.

    la meilleure chose c'est de faire cela manuellement.
    Grosso modo, pour savoir s'il y a une faille de type sql, il suffit de faire deux tests et c'est bon Cliquer ici pour agrandir

    Sinon c'est bien de vouloir automatiser la recherche mais nous ne sommes pas certains du taux de reussite

    salam

  3. #3
    Date d'inscription
    mai 2008
    Messages
    89
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    Je suis d'accord avec Fr0mY0u vaut mieux le faire manuellement c'est plus efficace, ça prend du temps certes mais ça donne un très bon résultat Cliquer ici pour agrandir

  4. #4
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut

    Salam,

    Je suis d'accord avec vous,

    mais il ne s'agit pas d'un seul site mais de plusieurs, environ 10000 page de code en PHP et 1.000.000 lignes de code!

  5. #5
    Date d'inscription
    juillet 2008
    Messages
    262
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    oui je vois ce que vs voulez dire...
    Je ne suis pas sur que c'est faisable parce en codant en php, on peut suivre différentes logiques...

    Or pour une sql injection par exemple (tres basique), il est plus simple et surtout plus rapide d'utiliser un outil qui va faire:
    id='
    id=1&name='
    id=1&name=test&year='
    jusqu'a trouver une reponse favorable a une faille sql plutot que d'analyser des milliers de lignes :/

    Enfin c'est ce que je crois.
    De ce coté la je pense qu'il y a pas mal de soft Cliquer ici pour agrandir
    Dernière modification par Fr0mY0u ; 11/12/2008 à 16h43.

  6. #6
    HAVOC Visiteurs

    Par défaut

    Personnellement j'utilise Acunetix Web Vulnerability Scanner, il est performant et fiable.

  7. #7
    Date d'inscription
    janvier 2008
    Localisation
    oran
    Messages
    1 080
    Remerciements
    6
    Remercié 3 fois dans 3 messages
    Pouvoir de réputation
    11

    Par défaut

    +1 HAVOC et Shadow Security Scanner fait aussi l'affaire (sql + xss).
    environ 10000 page de code en PHP et 1.000.000 lignes de code!
    je comprend par ça que ta l'accès au code source ?

  8. #8
    Date d'inscription
    juillet 2008
    Messages
    262
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    Cliquer ici pour agrandir Envoyé par Boss_Med Cliquer ici pour agrandir
    +1 HAVOC et Shadow Security Scanner fait aussi l'affaire (sql + xss).

    je comprend par ça que ta l'accès au code source ?
    oui je pense qu'il veut trouver des failles dans des cms genre joomla, wordpress...

  9. #9
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut

    Cliquer ici pour agrandir Envoyé par Boss_Med Cliquer ici pour agrandir
    je comprend par ça que ta l'accès au code source ?
    Oui j'ai accès au code source, c'est pour un audit sécurité et merci pour Shadow Security Scanner

    Cliquer ici pour agrandir Envoyé par Fr0mY0u Cliquer ici pour agrandir
    oui je pense qu'il veut trouver des failles dans des cms genre joomla, wordpress...
    non c'est pour des sites web écrits a la main, je me demande si il y a aussi des outils pour évaluer des vulnérabilités dans le code

    Cliquer ici pour agrandir Envoyé par HAVOC Cliquer ici pour agrandir
    Personnellement j'utilise Acunetix Web Vulnerability Scanner, il est performant et fiable.
    Merci Havoc
    Dernière modification par assilabox ; 11/12/2008 à 20h51.

  10. #10
    HAVOC Visiteurs

    Par défaut

    Pour ce qui est du scanner dont j'ai parlé, j'ai l'habitude de l'utiliser et il effectue en gros les choses suivantes :
    - Vérification des failles XSS.
    - Vérification des failles SQL.
    - Vérification de la sécurisation du serveur (services, serveur HTTP,...etc).

    En général, quand on code un site on peut commettre des failles SQL ou XSS, voir des failles de type Cookies Injection (je ne sais plus si le scanner les vérifies ou pas).
    Il faut donc prendre de bons réflexes de programmation : Magic Quotes, htmlentities(), addslash()... sont des fonctions à user et abuser !

Page 1 sur 4 1234 DernièreDernière

Discussions similaires

  1. Réponses: 11
    Dernier message: 13/09/2012, 17h32
  2. Audit des stocks
    Par aminz dans le forum Etudes et enseignement
    Réponses: 0
    Dernier message: 17/05/2010, 21h22
  3. [Actualités] L'audit de la climatisation des datacenters devient obligatoire
    Par NewsBot dans le forum Actu - News High-Tech
    Réponses: 0
    Dernier message: 06/04/2010, 09h10
  4. Un audit Iosa en cours à Air Algérie
    Par salimdz dans le forum Actu - News High-Tech
    Réponses: 0
    Dernier message: 28/07/2008, 21h55
  5. Metasploit : Penetration testing, security audit
    Par Iyas dans le forum Sécurité Informatique
    Réponses: 5
    Dernier message: 26/05/2008, 15h15

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •  
[Auto utilitaire DZ] [Webimag] [Algérie Info] [Guide Algérie] [Mosquée ALBADR MEAUX] [Photographe MARIAGE]

is PageRank Checking Icon