iSQL : tester sa sécurité

Publié le 15-07-2011 à 10:49:57 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 3.3/5

Avec la montée en puissance des piratages à base d´injection SQL, l´envie pressante de tester son site Internet touche de plus en plus de possesseur de site web. ZATAZ.COM vous propose les outils qui devraient vous amener à mieux sécuriser votre PRECIEUX ! Soyons clair, les outils proposés dans cet article ne vous aiderons pas à pirater votre prochain, à être les nouveaux AntiSec/LulzSec en culotte courte. ZATAZ.COM n'a pas pour vocation de vous faire croire que vous aller devenir The Hacker que chérira Mémé Lulu ou Tonton Rouflaquette.

Les outils présents ici sont légaux et vous ouvrirons les yeux sur ces failles qui nous pourrissent l'existence numérique. Avant de rentrer dans le vif du sujet, petit rappel de loi, histoire de ne pas mourir idiot. En Europe, être en possession d'un logiciel qui permet le hacking constitue une infraction aux yeux du législateur. Le Conseil des Ministres de l'Union Européenne a soutenu, début juin 2011, l'extension des sanctions pénales à l'encontre des internautes en possession, et utilisateur, de programme de piratage. En France, la peine peut atteindre 3 ans de prison et plusieurs dizaines de milliers d'Euros. Attention, un test de "sécurité" à l'encontre d'un site, d'un serveur web sans autorisation, même si l'état d'esprit du testeur n'est pas de nuire, est considéré comme un acte de piratage informatique. Trois articles du code pénal prévoient des sanctions sérieuses allant de trois ans d'emprisonnement et 45.000 euros d'amende.

Injection SQL, kesako

Comme le stipulent les contributeurs de Wikipedia : "Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité." Bref, vous prenez un script mal codé, vous lui injectez un code particulier, via un simple url appartenant au site contenant le script infecté, et le tour est joué. Comme nous vous l'indiquions voilà plus d'un an, des outils pirates automatisent ce genre d'injection. Depuis quelques semaines, les pirates "pousse-bouton" (LulzSec, ...) mettent la main sur des bases de données via ce type d'outil pirate. Il faut savoir que les injections sont numéro 1 du top 10 du projet OWASP, juste devant les Cross Site Scripting (XSS) et les problèmes d’authentification (Broken Authentication and Session Management). Les outils que ZATAZ.COM va vous présenter ne sont exhaustifs. Il en existe d'autres.

Sqlmap

Sqlmap est un outil open source qui permet de lancer des tests de pénétration. Créé par Bernardo Damele A. G. et Miroslav Stampar, ce logiciel est distribué sous forme de code source. L'outil automatise le processus de détection. Il possède un moteur de détection puissant. Tonton Wow vous explique en long, en large et en luxembourgeois le fonctionnement de la bête.

Metasploit

Le Framework Metasploit est un logiciel gratuit. Une solution open source de tests développé par la communauté open source et Rapid7. Le Framework Metasploit est le standard de facto pour les tests de pénétration. Plus d'un million de téléchargements uniques par an lui offre ainsi la plus grande base de données publique d'exploits au monde.

Mutillidae

Cette fourmis poilue numérique tourne sous Linux et Windows. L'idée de Mutillidae, permettre d'apprendre comment fonctionne une attaque afin d'aider à comprendre comment se protéger. Mutillidae, la dernière version est signée 2.0.10, a été écrit par Jeremy Druin.

Acunetix Web Security Scanner

Autre outil, autre scanner, celui de la société Acunetix. Un scanner web qui permet de regarder ce qui se passe dans votre code et votre serveur. Acunetix vérifie automatiquement vos applications web et s'assure qu'aucunes injections SQL, XSS et autres vulnérabilités web ne traine chez vous. La version gratuite travaille sur les XSS. Intéressant, le livre blanc sur comment bien sécuriser un site web. En anglais mais particulièrement instructif.

Test online

Pour éviter de finir réveillé par les "Amis du petit déjeuner", car eux aussi on le droit de dormir, voici plusieurs sites Internet spécialement créés pour comprendre et tester des failles. WebGoat, par exemple, est une application J2EE délibérément mal sécurisée. Elle permet de travailler et comprendre les trous qui peuvent faire mal. Une interface Web vous permet de résoudre des défis allant du XSS, en passant par l'iSQL ou le vol de session. Ça tourne sous Windows, Linux et Mac. Webscantest, par exemple, vous ouvre la découverte des DB injections, Blind SQL et autres Ajax, file Upload ou encore XSS. Même idée avec "Crack me Bank".

Dernier détail, de taille, ne vous contentez pas d'outil. Pensez à faire appel à des professionnels de la sécurité informatique. Ils sont certes couteux, mais rien ne remplacera l’œil d'un expert humain. ZATAZ.COM vous conseille aussi de vous pencher sur le Rosetta Code, une série de paramètres qui peuvent permettre d'éviter les injections SQL.