Accueil - Informatique et logiciels - logiciel pour vérifier la sécurité d'un site web

Partagez avec vos amis ... :)

logiciel pour vérifier la sécurité d'un site web

Si l'on veut protéger son site web, il faut non seulement utiliser tous les moyens connus, mais en plus utiliser un logiciel spécialisé qui va analyser les pages, les scripts, le serveur également et lancer aussi des attaques fictives pour déterminer toutes les failles de sécurité possible ...
En exploitant les failles de sécurité, afin d'obtenir des renseignements, ou même des codes confidentiels tels que les identifiants bancaires ou des mots de passes nombreux sont ceux qui peuvent nuire à votre site sur le net.
Les applications Web les plus touchées par ces attaques sont les paniers, les pages de connexion, le contenu dynamique...

Nul n'est à l'abri d'un piratage en bonne est due forme !
Il y a donc un minimum de précautions indispensables à prendre pour protéger votre site internet :
- avoir une copie de sauvegarde
- ne pas mettre de mots de passe trop simples et en changer de temps en temps
- ne pas installer de scripts non vérifiés ou peu fiables
- éviter tant que faire se peut l'utilisation de bases de données
- éviter d'utiliser des scripts, cms ou autres qui contiennent déjà des failles de sécurité connues
- ne pas s'y connecter depuis un ordinateur infecté
...  etc etc ....
Des protections de base
- un fichier .htaccess bien conçu
- ne pas laisser de 'trou' dans un dossier (un fichier .html vide peut servir ...)
- utiliser des scripts de 'surveillance' tel " crawlprotect " par exemple
Chercher les failles avec un logiciel spécialisé vous permettra certainement de trouver bien d'autres choses, y compris du côté serveur, en vous permettant ainsi de savoir et d'essayer de combler ces failles de sécurité.

En test aujourd'hui :
Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner
Cet outil est redoutable, il va chercher partout sur votre hébergement, lancer des attaques fictives et vous fournir un rapport assez impressionnant de toutes les failles de sécurité, de la situation  de vulnérabilité de votre site !
L'un des meilleurs actuellement ...

2 inconvénients :
- la version de démo téléchargeable gratuitement sur le net, ne fournit pas tout les renseignements ...
- l'analyse d'un site peut prendre un temps relativement long, voire même demander de nombreuses heures en fonction de sa complexité, de son contenu, de sa structure, du codage employé ...

mais les effets sont garantis, ensuite à vous, le sachant, d'essayer de combler au mieux toutes les failles découvertes ...

vérifier la sécurité d'un site web

voici, en anglais une petite partie des tests et recherches effectuées par ce logiciel :
"Checks for Web Servers Problems - Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE)
Verify Web Server Technologies
Vulnerable Web Servers
Vulnerable Web Server Technologies - such as "PHP 4.3.0 file disclosure and possible code execution.

Parameter Manipulation Checks

Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
SQL Injection
Code Execution
Directory Traversal
HTTP Parameter Pollution
File Inclusion
Script Source Code Disclosure
CRLF Injection
Cross Frame Scripting (XFS)
PHP Code Injection
XPath Injection
Path Disclosure
(Unix and Windows)
LDAP Injection
Cookie Manipulation
Arbitrary File creation (AcuSensor Technology)
Arbitrary File deletion (AcuSensor Technology)
Email Injection (AcuSensor Technology)
File Tampering (AcuSensor Technology)
URL redirection
Remote XSL inclusion
DOM XSS
MultiRequest Parameter Manipulation
: Blind SQL/XPath Injection
Input Validation
Buffer Overflows
Sub-Domain Scanning

File Checks

Checks for Backup Files or Directories - Looks for common files (such as logs, application traces, CVS web repositories)
Cross Site Scripting in URI
Checks for Script Errors

File Uploads

Unrestricted File uploads Checks

Directory Checks

Looks for Common Files (such as logs, traces, CVS)
Discover Sensitive Files/Directories
Discovers Directories with Weak Permissions
Cross Site Scripting in Path and PHPSESSID Session Fixation.
Web Applications
HTTP Verb Tampering

Text Search

Directory Listings
Source Code Disclosure
Check for Common Files
Check for Email Addresses
Microsoft Office Possible Sensitive Information
Local Path Disclosure
Error Messages
Trojan Shell Scripts (such as popular PHP shell scripts like r57shell, c99shell etc)

Weak Password Checks

Weak HTTP Passwords
Authentication attacks
Weak FTP passwords

Google Hacking Database (GHDB)

Over 1200 Google Hacking Database Search Entries

Port Scanner and Network Alerts

Finds All Open Ports on Servers
Displays Network Banner of Port
DNS Server Vulnerability: Open Zone Transfer
DNS Server Vulnerability: Open Recursion
DNS Server Vulnerability: Cache Poisoning
Finds List of Writable FTP Directories
FTP Anonymous Access Allowed
Checks for Badly Configured Proxy Servers
Checks for Weak SNMP Community Strings
Finds Weak SSL Cyphers "

impressionnant, non ?
Tous les articles de blog, ainsi que leur contenu, comme indiqué en page index du site principal, sont mis à disposition sous les termes de la licence Creative Commons. Vous pouvez le copier, distribuer et modifier tant que cette note apparaît clairement. " source: longuetraine.fr - Paternité - Pas d'Utilisation Commerciale - Partage des Conditions Initiales à l'Identique 3.0 France ", ainsi qu'un lien vers la source .

1 commentaire

#1  - sécurité a dit :

comme je l'ai déjà indiqué " ailleurs " : je viens d'en faire un pour un petit site de quelques dizaines de pages : presque 1/2 heure, 13 886 'requests', rapport en pdf de 28 pages .... 31 alertes !!!

Répondre

Fil RSS des commentaires de cet article

Écrire un commentaire

Quelle est la quatrième lettre du mot ut5m2d ?

Pour laisser un petit avis au passage, nul besoin d'avoir un site ou une adresse Internet, juste se donner un 'pseudo' ...
Les commentaires sont en 'dofollow', mais modérés à priori. Ils ne seront publiés qu'après vérification de votre message.
Si vous pensez ou désirez obtenir un backlink, votre commentaire doit être construit de manière cohérente, rédigé correctement ET avoir un minimum de contenu et de pertinence.