Dans ce dossier je vais vous présenter un grand nombre d'outils pour sécuriser votre site ou votre application web.
Les outils que je présente tournent sur différentes plateformes (parfois toutes) comme Windows, Linux, Mac ainsi que les navigateurs.
Il en existe un paquet sur le net mais j'ai préféré vous présenter ceux qui sont récents et/ou maintenus et améliorés au fil du temps.
Les outils que je présente tournent sur différentes plateformes (parfois toutes) comme Windows, Linux, Mac ainsi que les navigateurs.
Il en existe un paquet sur le net mais j'ai préféré vous présenter ceux qui sont récents et/ou maintenus et améliorés au fil du temps.
La majorité de ces pentools sont des scripts écrits en perl, python ou ruby. Alors ce que je vous conseille avant d'aller plus loin c'est soit d'installer une distrib Linux (genre BackTrack) sur une machine virtuelle. Mais si vous êtes trop feignant il y a quelques applications qui permettent d'exécuter ces scripts sur un environnement Windows. Vous pouvez par exemple commencer à installer Cygwin si vous voulez avoir un interpréteur de lignes de commande comme sur Linux. Sinon vous avez un tuto pour installer Ruby et Rails sur Windows ainsi que Python pour Windows et Perl pour Windows.
Ça existe aussi sur Mac (un petit coup de Google
).
Ça existe aussi sur Mac (un petit coup de Google
).Comme tous les dossiers que je fais, il y aura bien sûr des mises à jour effectuées afin de vous mettre au courant des dernières nouveautés en matières de pentools présents sur le net.
Et si vous avez un peu de mal à comprendre certains termes cités dans ce dossier, je vous invite à aller faire un tour sur le dossier des Termes utilisés dans le monde du hack et de la sécurité.
Comme d'habitude, tout remarque (constructive) est la bienvenue ainsi que les remerciements et problèmes que vous pourriez rencontrer bien évidemment
Ah aussi, vous pouvez cliquer sur les petites vignettes de chaque outil présenté pour agrandir l'image.
Ah aussi, vous pouvez cliquer sur les petites vignettes de chaque outil présenté pour agrandir l'image.
Voici la liste des outils que je vous propose pour l'instant :
- sqlsus
- The Mole
- SET (Social Engineer Toolkit)
- PHP Vulnerability Hunter
- Acunetix Web Vulnerability Scanner
- Naxsi Web Application Firewall
- w3af (Web Application Attack & Audit Framework)
- WPScan (Wordpress Security Vulnerability Scanner)
- WAVSEP
- Uniscan
- Lilith
- Joomscan Security Scanner
- WAFP (Web Application Finger Printer Tool)
- iScanner
- GoLISMERO
- WebSurgery
- Arachni
- Websecurify
 | sqlsus est un outil open source écrit en perl conçu pour tester les injections SQL sur votre site web. Celui-ci fonctionne en ligne de commande, vous pouvez récupérer la structure d'une base de donnée, injecter vos propres requêtes SQL, télécharger des fichiers depuis le serveur, explorer le site pour voir les répertoires accessibles en écriture, envoyer et contrôler une backdoor sur le serveur et bien plus. |
| Comme tout outil d'injection SQL, sqlsus va imiter une sortie de la console MySQL. Pour en savoir plus et télécharger le script, c'est par ici : http://sourceforge.net/projects/sqlsus/ | |
 | The Mole est un outil automatique d'exploitation des injections SQL. C'est en fournissant un lien vulnérable ou bien une adresse valide du site ciblé que l'on pourra tester l'injection et pourquoi pas l'exploiter. Soit en utilisant une technique de type union, soit une technique basée sur les requêtes booléennes. Cet outil fonctionne sur les bases de donnée de type MySQL, SQL Server, PostgreSQL et Oracle. |
| Vous aurez accès à une interface en ligne de commande pour piloter l'application ainsi qu'à l'auto-complétion. En plus vous serez aidé avec des pré-filtres si vous voulez injecter des requêtes de votre cru! Pour l'essayer : http://themole.sourceforge.net/ | |
 | SET est un outil que j'apprécie tout particulièrement et que j'utilise depuis sa création. C'est un Multiple tools pentest, en gros un ensemble d'outils personnalisés permettant d'augmenter et de simuler des attaques de typesocial-engineering afin de pouvoir tester comment une attaque peut réussir sur votre serveur. Pour l'instant celui-ci supporte deux méthodes d'attaque principales, une utilisant des Metasploits et l'autre passant par un site virtuel malicieux envoyant des attaques Java. |
| Il y a vraiment beaucoup à découvrir avec cette application écrite en python. A télécharger via SVN ou prendre directement le tarball : http://www.secmaniac.com/download/ | |
 | PHP Vulnerability Hunter est une application qui permet de détecter presque toutes les vulnérabilités d'une application web écrite en PHP. Cet outil est automatisé afin de détecter une large gamme de failles exploitables par un pirate. Le plus de ce scanner de vulnérabilités, c'est qu'il s'appuie sur une analyse dynamique contrairement à la plupart d'autres outils de sécurité qui passent le plus souvent via l'url. En effet, ici il faudra avoir le contenu du site web en local afin que l'application puisse fonctionner. |
| Cela permet ainsi une meilleure couverture de code et un meilleur indice de confiance par rapport aux vulnérabilités. Cette application est compatible sur toutes les plateformes Windows. A télécharger sur Google Code : http://code.google.com/p/php-vulnerability-hunter | |
Acunetix Web Vulnerability Scanner
 | Ce scanner de vulnérabilités est l'un des plus connus sur le web. Celui-ci possède un gros panel de fonctionnalités tel que AcuSensor qui est tout nouveau et va grandement aider le développeur a trouver la faille dans son code. La version beta 8 arrivée mi-novembre a été optimisé afin de nous faciliter la vie. Que vous soyez administrateur système ou développeur, vous vous y retrouverez facilement grâce à son processus d'automatisation. |
| C'est une application compatible sur la majorité des plateformes Windows mais celle-ci est payante. Néanmoins vous pouvez télécharger la version d'essai : http://www.acunetix.com/vulnerability-scanner/ | |
 | Compatible sur Debian Linux, Freebsd et Netbsd, ce script a pour but de vous aider à sécuriser votre site web contre les injections SQL, Cross Site Scripting, Cross Site Request Forgery ainsi que les inclusions de fichiers locaux et à distance. La plus grande différence par rapport à la plupart des autres WAF (Web Application Firewalls) est que celle-ci ne se base non pas sur des signatures d'attaques connues mais sur la détection de caractères inattendus dans les requêtes HTTP et les arguments passés. |
| Pour télécharger ce script, c'est ici : http://code.google.com/p/naxsi/ | |
 | w3af (Web Application Attack & Audit Framework) est un projet qui a pour but de créer un framework pour trouver et exploiter les vulnérabilités d'une application web. Le coeur et les plugins de cette application sont écrits entièrement en python. Pour l'instant il y a 130 plugins intégrés qui peuvent vérifier les injections SQL, les failles XSS, les inclusions de fichiers locaux et distants et plus encore... |
| Dans la dernière version sortie (1.1), l'application sort de la BETA et passe en RC. Au rendez-vous il y aura des performances accrues et plus de 100 bugs corrigés. Pour en savoir plus et télécharger l'appli : http://sourceforge.net/projects/w3af/ | |
WPScan (Wordpress Security Vulnerability Scanner)
 | WPScan est un scanner de vulnérabilités spécialement conçu pour Wordpress. Celui-ci vérifiera la sécurité de votre blog en utilisant un système de black box. Il est entièrement écrit en ruby et scannera entièrement votre blog afin de tester vos plugins (plus 750 à ce jour), les vulnérabilités connues, les FTD (Full Path Disclosure), les erreurs dans les logs, les erreurs 404, et pas mal d'autres. |
| C'est un excellent complément à l'article que j'avais rédigé pour Sécuriser son blog sous Wordpress. Le code est Open Source et sous licence GPL v3. Téléchargement et informations : http://code.google.com/p/wpscan/ | |
 | WAVSEP est une application web à part dans cette liste d'outils que je vous fournis. Celle-ci se chargera de tester ces scanners de vulnérabilités. En gros c'est un bench assez complet que fournira cette application. Pas mal de tests sont effectués avec notamment 66 cas de tests pour les failles XSS, 80 cas de tests pour les injections SQL basées sur les erreurs, 46 cas de test pour les injections SQL en aveugle et 10 cas de tests pour les injections SQL basées sur le temps. |
| L'image que j'ai attaché à WAVSEP est un graph représentant la liste des caractéristiques de plusieurs outils de test de vulnérabilités. Pour en savoir plus je vous conseille l'excellent article de Shay-Chen. Sinon vous pouvez télécharger le war ici : http://code.google.com/p/wavsep/ | |
Uniscan
 | Uniscan est un scanner open source de vulnérabilités pour les applications web. Écrit en perl, il a été conçu pour détecter les failles RFI, LFI, RCE, XSS et les injections SQL. Pour ses tests, celui-ci identifiera les pages du site via un crawler et vérifiera les extensions de fichiers ignorées, les méthodes GET et POST des pages. Il supporte les requêtes SSL ainsi que l'utilisation de proxy. Téléchargement et informations : http://www.uniscan.com.br/ |
Lilith
 | Lilith est un outil d'audit de code pour vos pages web qui cherchera dans vos tags HTML des références à des pages dynamiques qui pourraient être soumises à des injections SQL ou autres vulnérabilités. Ce script écrit en perl fonctionne comme un crawler et cherchera les liens dans une page pour accéder au reste du site. Il essaiera d'injecter des caractères spéciaux dans ces liens pour tester votre site. Téléchargement et informations : http://michaelhendrickx.com/lilith |
Joomscan Security Scanner
 | Bon vous allez me dire "Mais qui utilise encore Joomla???". J'tiens à vous dire qu'il y a encore pas mal de sites qui tournent sous Joomla d'où cet outil spécialement conçu pour ce CMS. Joomscan Security Scanner est écrit en perl et est capable de détecter plus de 550 vulnérabilités dans sa dernière version comme les inclusions de fichiers, les injections SQL, protection des répertoires et autres. Téléchargement et informations : http://security.web-center.si/?p=41 |
WAFP (Web Application Finger Printer Tool)
 | Cette application écrite en ruby et utilisant une base de données SQLite3 permettra de récupérer l'empreinte d'une application web en comparant les fichiers du serveur avec ceux de sa base de données. De cette manière il est possible de connaître la versiob détaillée d'une application web (phpmyadmin par exemple) ainsi que son numéro de build. Téléchargement et informations : http://mytty.org/wafp/ |
iScanner
 | iScanner est un outil écrit en ruby qui détectera du code malicieux et des malwares sur vos pages web. Il ne vous donnera pas simplement la liste des fichiers infectés mais vous nettoiera les fichiers en supprimant le code malveillant inclus dans ceux-ci. Il détecte le code malicieux dans pas mal de langages comme le JavaScript, VBScript, objets ActiveX, PHP, etc... Téléchargement et informations : http://iscanner.isecur1ty.org/ |
GoLISMERO
 | Encore un outil particulier en complément de w3af que je vous présentais plus haut. Celui-ci vous permettra de mapper votre application web afin de présenter des résultats plus lisibles. Le format affiché est plus simple pour réaliser un audit de sécurité. Il prépare également l'intégration des résultats avec d'autres outils de test de sécurité autre que w3af comme wfuzz, netcat, nikot, etc... Téléchargement et informations : https://code.google.com/p/golismero/ |
WebSurgery
 | WebSurgery est un programme tournant sur Windows regroupant une suite d'outils afin de réaliser des tests poussés sur une application web. Actuellement il utilise un crawler, un système de brute force de fichiers/répertoires, un Fuzzer pour l'exploitation des injections SQL, des failles XSS, du brute force des formulaires de connexion, des règles de pare-feu, des attaques DoS ainsi qu'un proxy pour analyser, intercepter et manipuler le trafic entre le navigateur et l'application web ciblée. |
| Téléchargement et informations :http://www.surgeonix.com/blog/index.php/archives/117 | |
Arachni
 | Arachni est un framework de sécurité pour scanner votre application web. Avec ce script c'est simple comme bonjour, vous aurez juste à l'exécuter et attendre patiemment la fin du scan. Le résultat retourné sera sous la forme que vous préférez (HTML, texte, XML, etc...). Il fournit en plus une interface web sympa ainsi qu'un système de gestion de plugins et de nombreuses autres options. |
| Téléchargement et informations : http://arachni.segfault.gr Source | |
Articles
