Actualité

 

iSQL : tester sa sécurité

Publié le 15-07-2011 à 10:49:57 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal


Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet


Note des lecteurs: 3.0/5

Avec la montée en puissance des piratages à base d´injection SQL, l´envie pressante de tester son site Internet touche de plus en plus de possesseur de site web. ZATAZ.COM vous propose les outils qui devraient vous amener à mieux sécuriser votre PRECIEUX ! Soyons clair, les outils proposés dans cet article ne vous aiderons pas à pirater votre prochain, à être les nouveaux AntiSec/LulzSec en culotte courte. ZATAZ.COM n'a pas pour vocation de vous faire croire que vous aller devenir The Hacker que chérira Mémé Lulu ou Tonton Rouflaquette.

Les outils présents ici sont légaux et vous ouvrirons les yeux sur ces failles qui nous pourrissent l'existence numérique. Avant de rentrer dans le vif du sujet, petit rappel de loi, histoire de ne pas mourir idiot. En Europe,  être en possession d'un logiciel qui permet le hacking constitue une infraction aux yeux du législateur. Le Conseil des Ministres de l'Union Européenne a soutenu, début juin 2011, l'extension des sanctions pénales à l'encontre des internautes en possession, et utilisateur, de programme de piratage. En France, la peine peut atteindre 3 ans de prison et plusieurs dizaines de milliers d'Euros. Attention, un test de "sécurité" à l'encontre d'un site, d'un serveur web sans autorisation, même si l'état d'esprit du testeur n'est pas de nuire, est considéré comme un acte de piratage informatique. Trois articles du code pénal prévoient des sanctions sérieuses allant de trois ans d'emprisonnement et 45.000 euros d'amende.

Injection SQL, kesako

Comme le stipulent les contributeurs de Wikipedia : "Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité." Bref, vous prenez un script mal codé, vous lui injectez un code particulier, via un simple url appartenant au site contenant le script infecté, et le tour est joué. Comme nous vous l'indiquions voilà plus d'un an, des outils pirates automatisent ce genre d'injection. Depuis quelques semaines, les pirates "pousse-bouton" (LulzSec, ...) mettent la main sur des bases de données via ce type d'outil pirate. Il faut savoir que les injections sont numéro 1 du top 10 du projet OWASP, juste devant les Cross Site Scripting (XSS) et les problèmes d’authentification (Broken Authentication and Session Management). Les outils que ZATAZ.COM va vous présenter ne sont exhaustifs. Il en existe d'autres.

Sqlmap

Sqlmap est un outil open source qui permet de lancer des tests de pénétration. Créé par Bernardo Damele A. G. et Miroslav Stampar, ce logiciel est distribué sous forme de code source. L'outil automatise le processus de détection. Il possède un moteur de détection puissant. Tonton Wow vous explique en long, en large et en luxembourgeois le fonctionnement de la bête.

 

Metasploit

Le Framework Metasploit est un logiciel gratuit. Une solution open source de tests développé par la communauté open source et Rapid7. Le Framework Metasploit est le standard de facto pour les tests de pénétration. Plus d'un million de téléchargements uniques par an lui offre ainsi la plus grande base de données publique d'exploits au monde.

 

Mutillidae

Cette fourmis poilue numérique tourne sous Linux et Windows. L'idée de Mutillidae, permettre d'apprendre comment fonctionne une attaque afin d'aider à comprendre comment se protéger. Mutillidae, la dernière version est signée 2.0.10, a été écrit par Jeremy Druin.

 

Acunetix Web Security Scanner

Autre outil, autre scanner, celui de la société Acunetix. Un scanner web qui permet de regarder ce qui se passe dans votre code et votre serveur. Acunetix vérifie automatiquement vos applications web et s'assure qu'aucunes injections SQL, XSS et autres vulnérabilités web ne traine chez vous. La version gratuite travaille sur les XSS. Intéressant, le livre blanc sur comment bien sécuriser un site web. En anglais mais particulièrement instructif.

Test online

Pour éviter de finir réveillé par les "Amis du petit déjeuner", car eux aussi on le droit de dormir, voici plusieurs sites Internet spécialement créés pour comprendre et tester des failles. WebGoat, par exemple, est une application J2EE délibérément mal sécurisée. Elle permet de travailler et comprendre les trous qui peuvent faire mal. Une interface Web vous permet de résoudre des défis allant du XSS, en passant par l'iSQL ou le vol de session. Ça tourne sous Windows, Linux et Mac. Webscantest, par exemple, vous ouvre la découverte des DB injections, Blind SQL et autres Ajax, file Upload ou encore XSS.  Même idée avec "Crack me Bank".

Dernier détail, de taille, ne vous contentez pas d'outil. Pensez à faire appel à des professionnels de la sécurité informatique. Ils sont certes couteux, mais rien ne remplacera l’œil d'un expert humain. ZATAZ.COM vous conseille aussi de vous pencher sur le Rosetta Code, une série de paramètres qui peuvent permettre d'éviter les injections SQL.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA