Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



WebInspect, un scanner de vulnérabilités web commercial

Par Ludovic Blin, secuobs.com
Le 12/02/2007


Résumé : L’outil WebInspect de la société américaine SPI Dynamics est destiné à l’audit et au contrôle de qualité des applications web. Il est disponible sur les plate-formes Windows.



Si il y a encore quelques années, de nombreux bugs touchaient les logiciels utilisés par l’infrastructure (serveurs web, serveurs de messagerie etc), ces derniers sont maintenant beaucoup moins courants.

A l’inverse le développement rapide des applications web, et plus encore des applications web 2.0 entraîne l’apparition de nouvelles opportunités pour un attaquant. Aujourd’hui la sécurité des applications web est donc de plus en plus une priorité pour l’industrie de la sécurité et ses clients.

Par ailleurs, pour de nombreux auditeurs qui réalisent des tests d’intrusion, il est souvent plus facile de profiter de défauts de configuration ou de programmation d’une application (SQL injection, XSS etc) pour compromettre un système que de trouver une faille dans une infrastructure de plus en plus stable.

La société américaine Spi Dynamics s’est spécialisée sur ce créneau et a développé une suite d’outils d’audit d’applications web destinée à être d’un emploi aisé. Celle-ci regroupe un scanner configurable destiné à découvrir une application, un outil d’audit de vulnérabilités doté d’une base de plus de 4 000 vulnérabilités connues, et un ensemble d’outils qui sont destinés à préciser le test d’intrusion.

On retrouve ainsi un outil d’injection SQL permettant de récupérer facilement le contenu d’une base de données en cas de vulnérabilités à ce type d’attaque. Les injections SQL classiques ou aveugles sont gérées, ainsi que les bases de données SQL Server et Oracle.

Un fuzzer http permet de tester des manipulations de paramètres au hasard, et un cracker http permet de tester la sécurité des mots de passes. Des éditeurs de requêtes HTTP et SOAP sont aussi inclus. Un proxy permet enfin de voir les requêtes envoyées et les réponses lors d’une navigation « normale ».

Il est donc possible de vérifier la vulnérabilité d’une application à de nombreux types de faiblesses web en utilisant le produit WebInspect.

lien