Résumé : IronWASP est une plate-forme open-source qui se destine à l'audit des applications Web. Résolument portée sur un concept modulaire, elle offre des fonctionnalités facilitant le portage d'outils de sécurité existants en modules qui seront fonctionnels en son sein.
Placée sous une licence open-source, IronWASP est une plate-forme permettant de faciliter la réalisation d'audits de sécurité à l'encontre des applications Web. Au sein de cette solution modulaire, il est notamment possible de transformer facilement des outils de sécurité existants en module IronWASP dès lors que le code source des outils d'origine est à disposition de l'utilisateur.
Comme démontré sur le blog de la société GDS (Gotham Digital Security), il est par exemple possible de lui intégrer simplement un outil en ligne de commande comme TestSSLServer. Ce dernier étant dédié aux audits des configurations SSL/TLS d'un serveur HTTP distant. L'intérêt de cet outil résidant notamment dans le fait qu'il ne nécessite ni OpenSSL, ni aucune autre dépendance.
Avec un fonctionnement se basant donc essentiellement sur l'utilisation de composants additionnels, IronWASP utilise dès lors tout un ensemble des modules qui eux-mêmes peuvent bénéficier, ou pas, des méthodes API fournies par IronWASP. Les modules pouvant être développés dans différents langages, laissés aux préférences de l'utilisateur entre le Ruby, le Python, le C# ou le VB.Net.
Lors de la création d'un module pour IronWASP, plusieurs challenges sont à relever afin de satisfaire une intégration réussie et notamment l'exportation des méthodes qui proviennent du code source des outils d'origine. En ce sens, plusieurs menus d'assistance à la programmation et à l'intégration graphique sont disponibles au sein de l'interface afin de faciliter cette migration.
Source :
« Porting Existing Security Tools to IronWASP Modules » sur « GDS Blog » (
lien )