Discussion :

[ASSWI]

Bonjour,
Je dois réaliser l'audit de sécurité d'un site web. C'est un devoir que je dois terminer en une semaine, mais je ne sais pas par où commencer. J'aurai besoin de toutes vos indications. Astuces, méthodes, Livres, articles, tutoriels... seront tous les bienvenues.
Merci.

[unnamed-anonymous]

Salut,

Il existe de nombreux outils permettant de rechercher et d'analyser les failles de sécurité, y compris web.
Je pense entre autres à Nessus, Metasploit, etc ...
Regarde du coté de la distribution "Backtrack" de Linux qui embarque l'ensemble des outils nécessaires !

[manticore]

backtrack est une grosse trousse à outil, mais en une semaine sans guide ça va être dur de trouver ce qu'il te faut. Si c'est un exercice je le ferai "à la main" avec quelques modules firefox

Identifie dans un premier temps le langage, utilisé pour le site web afin de trouver les failles les plus connus.

Ensuite je te conseille le module xss me sur firefox (non compatible avec la version 5) qui va te permettre de vérifié tes formules.

Il existe aussi un équivalent pour les injections sql mais je l'ai pas en tête.

Si c'est du php, test la faille include (si c'est un exercice d'école je suis presque sur qu'il y en a une).

Ensuite contrôle (encore une fois si c'est un exercice de tests) :

- Si il y a un formulaire d'envoie de mail et un champs hidden pour la destination.

- Si il y a une console admin, avec l'authentification fait par un module javascript.

- Tu peux analyser les cookies avec un module firefox (firebug avec firecookie est très bien)

Voila les failles les plus connus, et les plus fréquentes dans un exercice.