Audit sécurité de sites web, quels outils?

[meriem]

Merci à tous, mais je crois que je vais ouvrir un autre topic concernant les techniques de cryptage.

[Intranet]

@Meriem : Le login&Pass de l'administrateur doivent être enregistrer quelque part biensur, on va pas le mettre dans un fichier html ou texte parce qu'il y a moyen de lire le fichier, donc on utilise soit le php ou l'asp .. des systèmes qui utilisent des apache ce qui veut dire que les commandes s'exécutent dans l'apache, bref prenons un exemple :

avec un fichier Php c'est impossible de lire la source directement sauf dans le cas ou il y aura une faille dans les autres fichiers (RFI,R-Disclosure,Sql injection (permanete),Sql blind (Permanente),Glob etc..) mais pas le Xss (parce qu'il ne permet pas de lire un ficher, ni d'inclure un fichier), c'est pareil pour les simple sql injection, eux ils te permettent de voir le mot de passe mais crypté (généralement Hashé en Md5 ou en AES) mais les Sql injection permanentes (Rarement utilisé par les script kiddies) te permettent d'uploader un fichier dans le serveur et donc ça te permet de voir la source.

 

Donc le probleme ne vient pas du Php mais de la programmation, quoique si on veut on peut enregistré le login&pass CODER et on est obliger de mettre le décodeur quelque part aussi pour qu'il puisse le décoder avant l'utilisation mais ça ne sert que gagner quelques minutes avant que le Pirate comprend le mécanisme et décode facilement le Mot de passe .. donc voilà vaut mieux coder sans erreurs au début

 

Salutations

[Intranet]

Disant que je n'ai pas vu la dernière page lol mais je laisse quand même ce que j'ai écris peut être que ça intéresserai quelqu'un haha

[amchai]

Voici un lien sur la securité PHP

 

http://www.php.net/manual/fr/security.php

[talianiami]

ok je le avoir et je donne les comment.......

[assilabox]

non c'est pour des sites web écrits a la main, je me demande si il y a aussi des outils pour évaluer des vulnérabilités dans le code

 

Salam,

 

Oui ça existe :_) Fotify 360