logiciel pour vérifier la sécurité d'un site web
En exploitant les failles de sécurité, afin d'obtenir des renseignements, ou même des codes confidentiels tels que les identifiants bancaires ou des mots de passes nombreux sont ceux qui peuvent nuire à votre site sur le net.
Les applications Web les plus touchées par ces attaques sont les paniers, les pages de connexion, le contenu dynamique...
Nul n'est à l'abri d'un piratage en bonne est due forme !
Il y a donc un minimum de précautions indispensables à prendre pour protéger votre site internet :
- avoir une copie de sauvegarde
- ne pas mettre de mots de passe trop simples et en changer de temps en temps
- ne pas installer de scripts non vérifiés ou peu fiables
- éviter tant que faire se peut l'utilisation de bases de données
- éviter d'utiliser des scripts, cms ou autres qui contiennent déjà des failles de sécurité connues
- ne pas s'y connecter depuis un ordinateur infecté
... etc etc ....
Des protections de base
- un fichier .htaccess bien conçu
- ne pas laisser de 'trou' dans un dossier (un fichier .html vide peut servir ...)
- utiliser des scripts de 'surveillance' tel " crawlprotect " par exemple
Chercher les failles avec un logiciel spécialisé vous permettra certainement de trouver bien d'autres choses, y compris du côté serveur, en vous permettant ainsi de savoir et d'essayer de combler ces failles de sécurité.
En test aujourd'hui :
Acunetix Web Vulnerability Scanner
Cet outil est redoutable, il va chercher partout sur votre hébergement, lancer des attaques fictives et vous fournir un rapport assez impressionnant de toutes les failles de sécurité, de la situation de vulnérabilité de votre site !
L'un des meilleurs actuellement ...
2 inconvénients :
- la version de démo téléchargeable gratuitement sur le net, ne fournit pas tout les renseignements ...
- l'analyse d'un site peut prendre un temps relativement long, voire même demander de nombreuses heures en fonction de sa complexité, de son contenu, de sa structure, du codage employé ...
mais les effets sont garantis, ensuite à vous, le sachant, d'essayer de combler au mieux toutes les failles découvertes ...
vérifier la sécurité d'un site web
voici, en anglais une petite partie des tests et recherches effectuées par ce logiciel :"Checks for Web Servers Problems - Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE)
Verify Web Server Technologies
Vulnerable Web Servers
Vulnerable Web Server Technologies - such as "PHP 4.3.0 file disclosure and possible code execution.
Parameter Manipulation Checks
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
SQL Injection
Code Execution
Directory Traversal
HTTP Parameter Pollution
File Inclusion
Script Source Code Disclosure
CRLF Injection
Cross Frame Scripting (XFS)
PHP Code Injection
XPath Injection
Path Disclosure
(Unix and Windows)
LDAP Injection
Cookie Manipulation
Arbitrary File creation (AcuSensor Technology)
Arbitrary File deletion (AcuSensor Technology)
Email Injection (AcuSensor Technology)
File Tampering (AcuSensor Technology)
URL redirection
Remote XSL inclusion
DOM XSS
MultiRequest Parameter Manipulation
: Blind SQL/XPath Injection
Input Validation
Buffer Overflows
Sub-Domain Scanning
File Checks
Checks for Backup Files or Directories - Looks for common files (such as logs, application traces, CVS web repositories)
Cross Site Scripting in URI
Checks for Script Errors
File Uploads
Unrestricted File uploads Checks
Directory Checks
Looks for Common Files (such as logs, traces, CVS)
Discover Sensitive Files/Directories
Discovers Directories with Weak Permissions
Cross Site Scripting in Path and PHPSESSID Session Fixation.
Web Applications
HTTP Verb Tampering
Text Search
Directory Listings
Source Code Disclosure
Check for Common Files
Check for Email Addresses
Microsoft Office Possible Sensitive Information
Local Path Disclosure
Error Messages
Trojan Shell Scripts (such as popular PHP shell scripts like r57shell, c99shell etc)
Weak Password Checks
Weak HTTP Passwords
Authentication attacks
Weak FTP passwords
Google Hacking Database (GHDB)
Over 1200 Google Hacking Database Search Entries
Port Scanner and Network Alerts
Finds All Open Ports on Servers
Displays Network Banner of Port
DNS Server Vulnerability: Open Zone Transfer
DNS Server Vulnerability: Open Recursion
DNS Server Vulnerability: Cache Poisoning
Finds List of Writable FTP Directories
FTP Anonymous Access Allowed
Checks for Badly Configured Proxy Servers
Checks for Weak SNMP Community Strings
Finds Weak SSL Cyphers "
impressionnant, non ?