Discussion :

[kanadianDri3]

Bonjour à tous !

Je souhaite tester la sécurité d'applications web pour mon travail.
Ces applications sont stockées sur un serveur interne.

Exemple d'un lien d'une appli :
http://192.168.1.50/applications/APPLI3/code/authentify.php

Donc pour accéder aux applications via un browser, pas de problème.
Pour tester page par page pas de problème non plus (j'utilise XSS Me et SQL Inject Me pour l'instant...d'ailleurs si vous avez d'autres applis du même genre je suis preneur !)

Par contre, quand j'utilise avec un crawler (skipfish, burp, w3af,...etc.) impossible....Encore que Skipfish permet de filtrer les urls testé en filtrant avec des chaînes de caractères...mais ce n'est pas vraiment ce que je recherche.
En saisissant l'url mentionnée ci-dessus, la plupart du temps le test ne veut pas se lancer. Et sinon, il commence à la racine (et donc fait un test sur tout le serveur....un peu long quand même )

Une idée comment faire ? Une piste que je peux explorer ?

Si je n'ai pas été assez clair (ce qui est fort possible) demander et j'essayerai de ré-expliquer

Merci d'avance pour vos réponses !

[CervoiseMD]

Un audit c'est forcement long!

Tu désires tester uniquement la sécurité de cette page ou bien de toute ton application ?

Tu testes quoi exactement ? L'application web uniquement ou aussi le serveur ?

[kanadianDri3]

Désolé, je viens de revenir (vacances vacances )

Le plus rapide serait de tester la sécurité de toute l'application. Donc depuis un fichier racine où tous les fichiers de code sont stockés, tester ces fichiers pour des erreurs, failles etc...

Egalement, vérifier la sécurité quand on utilisateur navigue dans l'appli. Faire des tests du côté utilisateur quoi (pour voir ce qu'il peut être capable de faire)

Toutes les applis sont sauvegardées sur un serveur interne, accessible par subversion également. Elles sont là pour être tester avant d'être envoyer en production (normal)

Je sais que c'est long, mais j'aimerais bien pouvoir utiliser des outils disons "pratique". Skipfish, par exemple, c'est franchement bien pour regarder la sécurité. Mais il test TOUT. C'est un crawler surpuissant (et trés long donc). Il lit la racine de l'adresse et depuis ce point d'entrée, va fouiller dans tout ce qu'il trouve. C'est bien si je veux essayer les applis qui sont en prod (même si un peu dangereux quand même )
J'ai compris comment fonctionner w3af, mais il faut lui passer les adresses une par une (donc trés TRES long quand il y a 100e de fichiers).

Pour répondre à tes questions :
Je souhaite tester les applications web stockées sur le serveur interne de l'entreprise...mais une par une et pas toutes en même temps (donc toute les pages). Et seulement l'application web, le serveur ca sera pour une autre fois (et puis l'admin reseau & serveur sert un peu pour ca aussi )

Je sais que c'est long, surtout quand c'est la première fois...donc encore beaucoup d’interrogation, mais je progresse !!
J’espère avoir était plus clair en tout cas