Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



ProxyStrike un nouveau proxy transparent pour l'audit d'applications web

Par Ludovic Blin, secuobs.com
Le 15/04/2008


Résumé : Proxystrike permet d'automatiser les audits de sécurité à destination des applications web, ce type de solution offre la possibilité d'évaluer la sécurité d'un site ou d'un service web via des tests spécifiques portant par exemple sur des failles d'injection SQL ou des vulnérabilités de type XSS.



Alors que la sécurité des applications web est l'un des domaines prenant de plus en plus d' importance dans la sécurité informatique, de nombreux outils libres ou commerciaux voient le jour dans cette catégorie depuis un certain temps déjà avec entre autres :

- WebScarab/ProxMon ( lien ),
- WebInspect ( lien ) de SPI Dynamics,
- Wikto ( lien )
- Exploit-me ( lien ).
- Paros Proxy ( lien ),
- Nikto ( lien ),


Parmi ceux-ci on trouve les outils de type scanners d'applications web, certains d'entre eux peuvent par exemple tirer parti d'une session utilisateur « normale » de navigation, qui sera réalisée par l'auditeur, pour essayer automatiquement différentes techniques d'audit de manière à évaluer la sécurité de l'application ciblée.

Proxystrike de la société Edge Security ( lien ) est un outil à ranger dans cette catégorie. Il permet à l'auditeur de tester la sécurité d'une application web lors d'une session utilisateur classique.

En outre, il permet de visualiser les différentes requêtes web effectuées par le navigateur à destinateur du serveur web, ainsi que les réponses de ce serveur.

Des modules d'attaques spécifiques pour les failles de type XSS ( vulnérabilités du web 2.0 - lien ) et les vulnérabilités d'injection SQL ( Structured Query Language ) sont présents également dans ProxyStrike.

Une autre de ses fonctions permet quant à elle de modifier les différentes requêtes pour tester les réactions des applications (changement de user-agent, de cookie ....) à la manière des tests de fuzzing ( lien ).

Les auteurs de ProxyStrike ont aussi pensé à intégrer une fonction permettant de limiter les URL pouvant être testées par le proxy afin d'évider les effets de bord indésirables sur l'ensemble de l'activité du service dans le cas d'un serveur de production.

Il est aussi possible de modifier les requêtes pour tester les réactions des applications (changement de user-agent, de cookie ....) ; à noter la disponibilité d'une fonction permettant de limiter les URL qui seront utilisées par le proxy pour les différents tests de sécurité.

Cet outil, écrit en Python ( lien ), est disponible aussi bien en versions Linux que Windows.

La page officielle de l'outil Proxystrike ( lien ).