Publié le 15-07-2011 à 10:49:57 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

Avec la montée en puissance des piratages à base d´injection SQL, l´envie pressante de tester son site Internet touche de plus en plus de possesseur de site web. ZATAZ.COM vous propose les outils qui devraient vous amener à mieux sécuriser votre PRECIEUX ! Soyons clair, les outils proposés dans cet article ne vous aiderons pas à pirater votre prochain, à être les nouveaux AntiSec/LulzSec en culotte courte. ZATAZ.COM n'a pas pour vocation de vous faire croire que vous aller devenir The Hacker que chérira Mémé Lulu ou Tonton Rouflaquette.

Les outils présents ici sont légaux et vous ouvrirons les yeux sur ces failles qui nous pourrissent l'existence numérique. Avant de rentrer dans le vif du sujet, petit rappel de loi, histoire de ne pas mourir idiot. En Europe,  être en possession d'un logiciel qui permet le hacking constitue une infraction aux yeux du législateur. Le Conseil des Ministres de l'Union Européenne a soutenu, début juin 2011, l'extension des sanctions pénales à l'encontre des internautes en possession, et utilisateur, de programme de piratage. En France, la peine peut atteindre 3 ans de prison et plusieurs dizaines de milliers d'Euros. Attention, un test de "sécurité" à l'encontre d'un site, d'un serveur web sans autorisation, même si l'état d'esprit du testeur n'est pas de nuire, est considéré comme un acte de piratage informatique. Trois articles du code pénal prévoient des sanctions sérieuses allant de trois ans d'emprisonnement et 45.000 euros d'amende.

Injection SQL, kesako

Comme le stipulent les contributeurs de Wikipedia : "Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité." Bref, vous prenez un script mal codé, vous lui injectez un code particulier, via un simple url appartenant au site contenant le script infecté, et le tour est joué. Comme nous vous l'indiquions voilà plus d'un an, des outils pirates automatisent ce genre d'injection. Depuis quelques semaines, les pirates "pousse-bouton" (LulzSec, ...) mettent la main sur des bases de données via ce type d'outil pirate. Il faut savoir que les injections sont numéro 1 du top 10 du projet OWASP, juste devant les Cross Site Scripting (XSS) et les problèmes d’authentification (Broken Authentication and Session Management). Les outils que ZATAZ.COM va vous présenter ne sont exhaustifs. Il en existe d'autres.

Sqlmap

Sqlmap est un outil open source qui permet de lancer des tests de pénétration. Créé par Bernardo Damele A. G. et Miroslav Stampar, ce logiciel est distribué sous forme de code source. L'outil automatise le processus de détection. Il possède un moteur de détection puissant. Tonton Wow vous explique en long, en large et en luxembourgeois le fonctionnement de la bête.

Metasploit

Le Framework Metasploit est un logiciel gratuit. Une solution open source de tests développé par la communauté open source et Rapid7. Le Framework Metasploit est le standard de facto pour les tests de pénétration. Plus d'un million de téléchargements uniques par an lui offre ainsi la plus grande base de données publique d'exploits au monde.

Mutillidae

Cette fourmis poilue numérique tourne sous Linux et Windows. L'idée de Mutillidae, permettre d'apprendre comment fonctionne une attaque afin d'aider à comprendre comment se protéger. Mutillidae, la dernière version est signée 2.0.10, a été écrit par Jeremy Druin.

Acunetix Web Security Scanner

Autre outil, autre scanner, celui de la société Acunetix. Un scanner web qui permet de regarder ce qui se passe dans votre code et votre serveur. Acunetix vérifie automatiquement vos applications web et s'assure qu'aucunes injections SQL, XSS et autres vulnérabilités web ne traine chez vous. La version gratuite travaille sur les XSS. Intéressant, le livre blanc sur comment bien sécuriser un site web. En anglais mais particulièrement instructif.

Test online

Pour éviter de finir réveillé par les "Amis du petit déjeuner", car eux aussi on le droit de dormir, voici plusieurs sites Internet spécialement créés pour comprendre et tester des failles. WebGoat, par exemple, est une application J2EE délibérément mal sécurisée. Elle permet de travailler et comprendre les trous qui peuvent faire mal. Une interface Web vous permet de résoudre des défis allant du XSS, en passant par l'iSQL ou le vol de session. Ça tourne sous Windows, Linux et Mac. Webscantest, par exemple, vous ouvre la découverte des DB injections, Blind SQL et autres Ajax, file Upload ou encore XSS.  Même idée avec "Crack me Bank".

Dernier détail, de taille, ne vous contentez pas d'outil. Pensez à faire appel à des professionnels de la sécurité informatique. Ils sont certes couteux, mais rien ne remplacera l’œil d'un expert humain. ZATAZ.COM vous conseille aussi de vous pencher sur le Rosetta Code, une série de paramètres qui peuvent permettre d'éviter les injections SQL.

Tweet

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu