Pentesting d'applications web

kanadianDri3 · 27/07/2011, 15h01

Bonjour à tous !

Je souhaite tester la sécurité d'applications web pour mon travail.
Ces applications sont stockées sur un serveur interne.

Exemple d'un lien d'une appli :
http://192.168.1.50/applications/APPLI3/code/authentify.php

Donc pour accéder aux applications via un browser, pas de problème.
Pour tester page par page pas de problème non plus (j'utilise XSS Me et SQL Inject Me pour l'instant...d'ailleurs si vous avez d'autres applis du même genre je suis preneur

!)

Par contre, quand j'utilise avec un crawler (skipfish, burp, w3af,...etc.) impossible....Encore que Skipfish permet de filtrer les urls testé en filtrant avec des chaînes de caractères...mais ce n'est pas vraiment ce que je recherche.
En saisissant l'url mentionnée ci-dessus, la plupart du temps le test ne veut pas se lancer. Et sinon, il commence à la racine (et donc fait un test sur tout le serveur....un peu long quand même

)

Une idée comment faire ? Une piste que je peux explorer ?

Si je n'ai pas été assez clair (ce qui est fort possible) demander et j'essayerai de ré-expliquer

Merci d'avance pour vos réponses !

CervoiseMD · 28/07/2011, 16h18

Un audit c'est forcement long!

Tu désires tester uniquement la sécurité de cette page ou bien de toute ton application ?

Tu testes quoi exactement ? L'application web uniquement ou aussi le serveur ?

kanadianDri3 · 05/08/2011, 10h10

Désolé, je viens de revenir (vacances vacances

)

Le plus rapide serait de tester la sécurité de toute l'application. Donc depuis un fichier racine où tous les fichiers de code sont stockés, tester ces fichiers pour des erreurs, failles etc...

Egalement, vérifier la sécurité quand on utilisateur navigue dans l'appli. Faire des tests du côté utilisateur quoi (pour voir ce qu'il peut être capable de faire)

Toutes les applis sont sauvegardées sur un serveur interne, accessible par subversion également. Elles sont là pour être tester avant d'être envoyer en production (normal)

Je sais que c'est long, mais j'aimerais bien pouvoir utiliser des outils disons "pratique". Skipfish, par exemple, c'est franchement bien pour regarder la sécurité. Mais il test TOUT. C'est un crawler surpuissant (et trés long donc). Il lit la racine de l'adresse et depuis ce point d'entrée, va fouiller dans tout ce qu'il trouve. C'est bien si je veux essayer les applis qui sont en prod (même si un peu dangereux quand même

)
J'ai compris comment fonctionner w3af, mais il faut lui passer les adresses une par une (donc trés TRES long quand il y a 100e de fichiers).

Pour répondre à tes questions :
Je souhaite tester les applications web stockées sur le serveur interne de l'entreprise...mais une par une et pas toutes en même temps (donc toute les pages). Et seulement l'application web, le serveur ca sera pour une autre fois (et puis l'admin reseau & serveur sert un peu pour ca aussi

)

Je sais que c'est long, surtout quand c'est la première fois...donc encore beaucoup d’interrogation, mais je progresse

!!
J’espère avoir était plus clair en tout cas

27/07/2011, 15h01	#1
kanadianDri3 Futur Membre du Club David Lemaire Etudiant Inscription : juillet 2011 Messages : 10 Détails du profil Informations personnelles : Nom : David Lemaire Localisation : France Informations professionnelles : Activité : Etudiant Informations forums : Inscription : juillet 2011 Messages : 10 Points : 15 Points : 15	Pentesting d'applications web Bonjour à tous ! Je souhaite tester la sécurité d'applications web pour mon travail. Ces applications sont stockées sur un serveur interne. Exemple d'un lien d'une appli : http://192.168.1.50/applications/APPLI3/code/authentify.php Donc pour accéder aux applications via un browser, pas de problème. Pour tester page par page pas de problème non plus (j'utilise XSS Me et SQL Inject Me pour l'instant...d'ailleurs si vous avez d'autres applis du même genre je suis preneur !) Par contre, quand j'utilise avec un crawler (skipfish, burp, w3af,...etc.) impossible....Encore que Skipfish permet de filtrer les urls testé en filtrant avec des chaînes de caractères...mais ce n'est pas vraiment ce que je recherche. En saisissant l'url mentionnée ci-dessus, la plupart du temps le test ne veut pas se lancer. Et sinon, il commence à la racine (et donc fait un test sur tout le serveur....un peu long quand même ) Une idée comment faire ? Une piste que je peux explorer ? Si je n'ai pas été assez clair (ce qui est fort possible) demander et j'essayerai de ré-expliquer Merci d'avance pour vos réponses !
	00

28/07/2011, 16h18	#2
CervoiseMD Membre éclairé Antoine Cervoise Inscription : décembre 2009 Messages : 27 Détails du profil Informations personnelles : Nom : Antoine Cervoise Localisation : France Informations forums : Inscription : décembre 2009 Messages : 27 Points : 311 Points : 311	Un audit c'est forcement long! Tu désires tester uniquement la sécurité de cette page ou bien de toute ton application ? Tu testes quoi exactement ? L'application web uniquement ou aussi le serveur ?
	00

05/08/2011, 10h10	#3
kanadianDri3 Futur Membre du Club David Lemaire Etudiant Inscription : juillet 2011 Messages : 10 Détails du profil Informations personnelles : Nom : David Lemaire Localisation : France Informations professionnelles : Activité : Etudiant Informations forums : Inscription : juillet 2011 Messages : 10 Points : 15 Points : 15	Désolé, je viens de revenir (vacances vacances ) Le plus rapide serait de tester la sécurité de toute l'application. Donc depuis un fichier racine où tous les fichiers de code sont stockés, tester ces fichiers pour des erreurs, failles etc... Egalement, vérifier la sécurité quand on utilisateur navigue dans l'appli. Faire des tests du côté utilisateur quoi (pour voir ce qu'il peut être capable de faire) Toutes les applis sont sauvegardées sur un serveur interne, accessible par subversion également. Elles sont là pour être tester avant d'être envoyer en production (normal) Je sais que c'est long, mais j'aimerais bien pouvoir utiliser des outils disons "pratique". Skipfish, par exemple, c'est franchement bien pour regarder la sécurité. Mais il test TOUT. C'est un crawler surpuissant (et trés long donc). Il lit la racine de l'adresse et depuis ce point d'entrée, va fouiller dans tout ce qu'il trouve. C'est bien si je veux essayer les applis qui sont en prod (même si un peu dangereux quand même ) J'ai compris comment fonctionner w3af, mais il faut lui passer les adresses une par une (donc trés TRES long quand il y a 100e de fichiers). Pour répondre à tes questions : Je souhaite tester les applications web stockées sur le serveur interne de l'entreprise...mais une par une et pas toutes en même temps (donc toute les pages). Et seulement l'application web, le serveur ca sera pour une autre fois (et puis l'admin reseau & serveur sert un peu pour ca aussi ) Je sais que c'est long, surtout quand c'est la première fois...donc encore beaucoup d’interrogation, mais je progresse !! J’espère avoir était plus clair en tout cas
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email