Blog

Plus de 30 outils gratuits pour améliorer la sécurité de votre site Web et de vos visiteurs

Outils de sécurité de site Web gratuits



Les cyberattaques sont monnaie courante et les coûts qui en découlent pour les organisations augmentent. Cependant, vous pouvez atténuer les cyber-catastrophes grâce à des outils de sécurité de sites Web gratuits qui vous aideront à identifier les vulnérabilités des sites Web et à assurer la sécurité de vos visiteurs, ou plutôt… plus de sécurité..

On pourrait penser que les grandes entreprises ont les moyens et la possibilité de surveiller leurs applications pour détecter les vulnérabilités de leurs sites Web. Mais apparemment non. Juste quelques exemples :



  • L'année 2013 qui dégonfle l'ego Yahoo la violation s'est produite à la suite d'une attaque de falsification de cookies qui a permis aux pirates de s'authentifier comme n'importe quel autre utilisateur sans leur mot de passe. Les analystes affirment que Yahoo aurait pu éviter les dégâts s'il avait pris des mesures plus rapides contre les intrus.
  • Le titre accrocheur Papiers panaméens L'attaque était le résultat d'au moins deux échecs de mise à jour du logiciel :
    • Une version obsolète de leur plugin de curseur d'image sur WordPress
    • Une version de Drupal vieille de trois ans qui contenait plusieurs vulnérabilités connues
  • Il a fallu un programmeur de 17 ans pour signaler une falsification de requêtes intersites sur Flickr . Une fois notifié, il n’a fallu que 12 heures à Flikr pour corriger la faille.

Voir également: Les plus grandes violations de données de l'histoire

Même si aucun système de sécurité – même celui de votre maison – n’est infaillible, des analyses régulières de sites Web peuvent grandement contribuer à vous protéger contre les attaques opportunistes contre vos actifs virtuels. Prendre Lop flou américain (AFL) , un logiciel open source fuzzeur développé par Michał Zalewski de Google. Il a permis de découvrir des vulnérabilités dans diverses applications Web populaires, notamment Firefox, Flash, LibreOffice, Internet Explorer et Apple Safari.



Contenu [ cacher ]

Conseils pour utiliser les outils de sécurité de sites Web gratuits

La plupart des outils de sécurité de sites Web gratuits examinés ici ont des caractéristiques et des fonctionnalités similaires. Il s’agit souvent de comparer des pommes et des poires. N'en déplaise au principal fournisseur de sécurité Sucuri, mais même eux ont du mal à distinguer leur produit des autres :

'Quelques autres plugins de sécurité offrent des fonctionnalités de surveillance de l'activité, mais rares sont ceux qui les font correctement [...] Nous avons restreint les fonctionnalités clés que nous estimions les plus pertinentes pour tout propriétaire de site Web.'

Pour cette raison, nous avons classé ces outils et noté les principaux avantages et inconvénients de chacun. Certaines catégories se chevauchent ; notamment les outils d’analyse des vulnérabilités et de tests d’intrusion.

Vous remarquerez que la liste des outils gratuits comprend certains qui sont spécifiquement utilisés pour analyser les applications Web. Quelle est la différence entre un site internet et une application ? Ben Shapiro de Segué Technologies fournit la réponse longue et complète. Si vous voulez une réponse courte, débordement de pile le dit succinctement :

« [Un site Web] est un ensemble de documents accessibles via Internet via un navigateur Web. Les sites Web peuvent également contenir des applications Web, qui permettent aux visiteurs d'effectuer des tâches en ligne telles que : rechercher, consulter, acheter, payer et payer.

L’important est que vous adoptiez une approche holistique lorsque vous testez votre site Web. En cas de doute, testez tout. Les outils gratuits de sécurité des sites Web facilitent la tâche et ne vous coûtent rien d'autre que votre temps.

  • Développer une stratégie de tests : La plupart des outils de sécurité de sites Web fonctionnent mieux avec d’autres types d’outils de sécurité. Un bon exemple est le domaine des tests d’intrusion. Les administrateurs emploient généralement des scanners de vulnérabilités avant d'utiliser un outil de test d'intrusion pour des cibles spécifiques, par ex. ports réseau ou applications. Par exemple, Wireshark est à la fois un analyseur de réseau et un outil de test d'intrusion.

    Un scanner de vulnérabilités polyvalent est probablement le meilleur point de départ. Mais si vous souhaitez principalement analyser le code de vos développeurs, rendez-vous dans la section des analyseurs de code source statique ci-dessous. Vous voulez vérifier le niveau de sécurité de vos mots de passe ? Nous avons également trouvé pour vous des outils gratuits de piratage de mots de passe.
  • Une taille unique ne convient pas à tous: Tous les outils gratuits de sécurité des sites Web présentent des avantages et des inconvénients et il existe rarement une solution universelle. Par exemple, en tant qu'outil d'analyse, l'outil d'analyse réseau le mieux noté Wireshark fait le même travail que l'outil Fiddler, et plus efficacement. Cependant, Wireshark ne peut pas détecter le trafic sur la même machine (localhost) sous Windows. Si vous avez besoin de détecter le trafic local sous Windows, vous devez utiliser Fiddler.
  • Analyse des résultats : Ne vous fiez pas aux résultats d’une seule analyse ! Nous avons testé un certain nombre de scanners sur des sites sûrs et non sécurisés et les résultats étaient nettement différents. Cela nous amène à des faux positifs. Ceux-ci peuvent être ennuyeux, mais gardez à l’esprit qu’ils valent mieux que les faux négatifs. Quelque chose d'aussi simple qu'une modification de configuration ou une mise à jour logicielle peut déclencher une alerte qui doit être extraite.
  • Obtenez une assistance gratuite : Si vous souhaitez utiliser des outils gratuits, vous devez idéalement avoir des connaissances en sécurité, car la plupart des outils gratuits ne disposent pas de support client ; vous devez faire tout le sale boulot vous-même. Vous pouvez également visiter Le site Joomla! Forum , Forums gratuits , ASP.NET , MBSA , ou Ordinateur qui bipe pour poster vos questions et rechercher des solutions.
  • Gardez-le frais : L'inconvénient des outils gratuits est qu'ils peuvent ne pas être régulièrement mis à jour avec les dernières vulnérabilités connues. Vérifiez toujours la date de la dernière version publiée.

Ce que vous devez savoir sur les outils gratuits de sécurité des sites Web

Méthodes de test

Il existe trois principaux types d'outils associés à la détection des vulnérabilités des applications :

  • Tests de boîte noire – Méthode de test logiciel qui examine la fonctionnalité d’une application sans examiner ses structures internes. Les tests se concentrent sur ce que le logiciel est censé faire, et non sur la manière dont. Cette catégorie comprend les scanners de vulnérabilités, les scanners de sécurité des applications Web et les outils de test d'intrusion.
  • Tests en boîte blanche – Méthode de test d’un logiciel qui se concentre sur les structures internes d’une application au niveau du code source, par opposition à ses fonctionnalités. Les analyseurs de code source statiques et les outils de tests d'intrusion entrent dans cette catégorie. Avec les tests d'intrusion, Tests en boîte blanche , selon Wikipédia, fait référence à une méthodologie dans laquelle un pirate informatique White Hat connaît parfaitement le système attaqué. L’objectif d’un test d’intrusion White Box est de simuler un interne malveillant qui connaît et éventuellement les informations d’identification de base du système cible.
  • Tests en boîte grise – Dans le cyberespace, la frontière entre les catégories s’est estompée, donnant naissance à ce nouveau modèle de test qui combine des éléments des méthodes Black et White Box.

Vulnérabilités courantes des sites Web

Le très respecté Open Web Application Security Project (OWASP) est une communauté ouverte dédiée à permettre aux organisations de développer, d'acheter et de maintenir des applications fiables. Il s'agit de l'organisme de normalisation émergent pour la sécurité des applications Web et publie chaque année une liste de 10 principales vulnérabilités des sites Web pour une année donnée.

Pour chaque vulnérabilité, nous avons inclus un lien vers un site qui vous donnera plus de détails techniques si vous êtes intéressé.

  1. Injection SQL – Technique d'injection de code dans laquelle des instructions SQL malveillantes sont insérées dans un champ de saisie pour exécution. La technique est utilisée pour manipuler (par exemple télécharger) ou corrompre des données. Il cible les entrées des utilisateurs qui ne sont pas correctement validées et échappé . Un attaquant peut exploiter cette vulnérabilité en remplaçant les entrées de l'utilisateur par ses propres commandes, qui sont envoyées directement à la base de données.Exemple: Violation de la Commission électorale des Philippines .
  2. Authentification brisée et gestion de session – Les fonctions applicatives liées à l’authentification et à la gestion de session sont souvent mal implémentées, permettant aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d’exploiter d’autres failles de mise en œuvre pour usurper l’identité d’autres utilisateurs (temporairement ou définitivement).Exemple: Les 17 violations médiatiques .
  3. Scripts intersites (XSS) – Cette attaque se décline en plusieurs saveurs. À la base, il permet aux attaquants d’injecter des scripts côté client dans des pages Web consultées par d’autres utilisateurs. Il repose sur un concept sous-jacent de confiance connu sous le nom de politique de même origine, qui stipule que si le contenu d'un site est autorisé à accéder aux ressources d'un système, alors tout contenu de ce site partagera ces autorisations. Après avoir violé un site de confiance, les attaquants peuvent inclure leur contenu malveillant dans le contenu fourni au site côté client et accéder à ses trésors d'informations.Exemple: XSS stocké sur eBay .
  4. Contrôle d'accès cassé – Les attaquants peuvent utiliser des fuites ou des failles dans les fonctions d’authentification ou de gestion de session (par exemple, comptes exposés, mots de passe, identifiants de session) pour usurper l’identité des utilisateurs.Exemple: Violation de l'outil de recherche d'amis adultes .
  5. Failles de configuration de sécurité – Ceci est le résultat d’un « assemblage incorrect des protections de l’application Web », laissant une faille de sécurité susceptible d’être violée dans un serveur, une base de données, un framework ou un code.Exemple: La violation des électeurs mexicains .
  6. Exposition aux données sensibles – De nombreuses applications Web et API ne protègent pas correctement les informations sensibles, telles que les données financières ou de santé. Les attaquants peuvent voler ou modifier des données faiblement protégées pour commettre une fraude par carte de crédit, un vol d'identité ou d'autres crimes. Les données sensibles méritent une protection supplémentaire comme le cryptage au repos ou en transit, ainsi que des précautions particulières lors de leur échange avec le navigateur.Exemple: Violation de l’Institut indien de gestion .
  7. Protection contre les attaques insuffisante – La majorité des applications et des API ne disposent pas de la capacité de base nécessaire pour détecter, prévenir et répondre aux attaques manuelles et automatisées. La protection contre les attaques va bien au-delà de la validation de base des entrées et implique la détection, la journalisation, la réponse et même le blocage automatiques des tentatives d'exploitation. Les propriétaires d’applications doivent également être en mesure de déployer rapidement des correctifs pour se protéger contre les attaques.Exemple: Les Trois brèches .
  8. Contrefaçon de demande intersite (CSRF) – Force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié à son insu. En attirant un utilisateur vers un site Web contrôlé par un attaquant, un pirate informatique peut modifier les requêtes d’un utilisateur au serveur.Exemple: Attaque Facebook .
  9. Utiliser des composants présentant des vulnérabilités connues – Les composants, tels que les bibliothèques, les frameworks et autres modules logiciels, s'exécutent avec les mêmes privilèges que l'application. Si un composant vulnérable est exploité, une telle attaque peut faciliter de graves pertes de données ou la prise de contrôle du serveur. Les applications et les API utilisant des composants présentant des vulnérabilités connues peuvent saper les défenses des applications et permettre diverses attaques et impacts.Exemple: Violation de Mossack Fonesca (Panama Papers) .
  10. API sous-protégées – Les applications modernes impliquent souvent des applications client riches et des API, telles que JavaScript dans le navigateur et des applications mobiles qui se connectent à une API quelconque (SOAP/XML, REST/JSON, RPC, GWT, etc.). Ces API sont souvent non protégées et peuvent contenir de nombreuses vulnérabilités.Exemple: Fuite chez McDonald's .

Scanners de vulnérabilités

Un scanner de vulnérabilités est un logiciel spécialisé qui analyse votre réseau, votre système ou vos serveurs pour identifier les bogues, les failles de sécurité et les failles. Il teste automatiquement un système pourconnuvulnérabilités. Il identifie d'abord les ports ouverts ; adresses IP et connexions actives ; et les systèmes d'exploitation, les logiciels et les services actifs. Il compare ensuite les informations trouvées aux vulnérabilités connues dans sa base de données ou dans une base de données tierce. Pour l’homme de la rue, il fonctionne à peu près de la même manière qu’un logiciel antivirus de type jardin, mais il est beaucoup plus sophistiqué. Par exemple, les meilleurs scanners de vulnérabilités sont suffisamment intelligents pour inclure des composants de gestion des correctifs et de tests d’intrusion. Il y a certains chevauchements entre les scanners de vulnérabilités et outils de tests d'intrusion . Ces derniers utilisent les vulnérabilités découvertes par les scanners pour effectuer des violations et prouver leur capacité à compromettre la vulnérabilité. Les outils suivants sont tous totalement gratuits.

Système ouvert d'évaluation des vulnérabilités (OpenVAS)

OpenVAS est un kit de sécurité d'analyse composé de divers services et outils. Le scanner lui-même ne fonctionne pas sur les machines Windows mais il existe un client pour Windows. Il reçoit un flux, mis à jour quotidiennement, de plus de 30 000 tests de vulnérabilité réseau (NVT). L'outil est issu de la dernière version gratuite de Nessus, un autre scanner de vulnérabilités, après être devenu propriétaire en 2005. L'Office fédéral allemand de la sécurité de l'information (BSI) utilise OpenVAS dans le cadre de son cadre de sécurité informatique.

Pro:

  • Base de données de vulnérabilités massives
  • Capacité de tâches d'analyse simultanées
  • Analyses programmées
  • Gestion des faux positifs
  • Gratuit pour des IP illimitées
  • Bon polyvalent

Avec:

  • Ce n'est pas l'outil le plus simple à installer pour les débutants
  • Le composant principal – le moteur d’analyse – nécessite Linux

Analyseur de sécurité de base Microsoft (MBSA)

MBSA analyse les postes de travail et les serveurs Microsoft à la recherche de mises à jour de sécurité manquantes, de correctifs de sécurité et de mauvaises configurations de sécurité courantes.

Pro:

  • L'interface conviviale vous permet d'analyser des machines locales ou distantes ; sélectionnez une seule machine à analyser, choisissez un domaine entier ou spécifiez une plage d'adresses IP ; et choisissez exactement ce que vous souhaitez rechercher, par ex. mots de passe faibles ou mises à jour Windows
  • Fournit des suggestions correctives spécifiques lorsque des vulnérabilités sont détectées
  • Le forum actif fournit un support de qualité

Avec:

  • N'analyse pas les logiciels non Microsoft
  • Ne recherche pas les vulnérabilités spécifiques au réseau

Édition communautaire Nexpose

Destiné aux petites entreprises ainsi qu'aux particuliers qui utilisent plusieurs ordinateurs connectés à un réseau local, Nexpose peut analyser les réseaux, les systèmes d'exploitation, les applications Web, les bases de données et les environnements virtuels. Il s'intègre au populaire Cadre Metasploit , un outil permettant de développer et d'exécuter du code d'exploitation sur une machine cible distante. Une communauté très active de testeurs d'intrusion et de chercheurs en sécurité est impliquée qui pilotent le développement de ces exploits qui sont ensuite transformés en définitions de vulnérabilités.

Pro:

  • Comprend une option intéressante pour définir des politiques afin de définir et de suivre vos normes de conformité requises
  • Permet des visualisations détaillées des données numérisées
  • Peut être installé sur Windows, Linux ou des machines virtuelles

Avec:

  • La version gratuite est limitée à 32 IP à la fois

SecureCheq

TripWire appelle son SecureCheq un utilitaire d'évaluation de configuration. Il teste environ deux douzaines d'erreurs de configuration critiques mais courantes liées au renforcement du système d'exploitation, à la protection des données, à la sécurité des communications, à l'activité des comptes utilisateur et à la journalisation des audits. Cet outil gratuit fonctionnerait mieux en conjonction avec un scanner plus robuste, comme Microsoft Baseline Security Analyzer (MBSA).

Pro:

  • Facile à utiliser pour les débutants
  • Fournit des conseils détaillés en matière de remédiation et de réparation

Avec:

  • Les analyses locales sont effectuées uniquement sur les machines Microsoft
  • La version gratuite de cet outil ne fournit qu'environ un quart des paramètres de la version payante

Qualys FreeScan

Scanner léger qui peut être utilisé pour évaluer l'état de vulnérabilité de votre site Web et vous aider à prendre une décision quant au niveau de protection dont vous avez besoin à l'avenir. Nom de confiance, Qualys a été la première entreprise à proposer des solutions de gestion des vulnérabilités sous forme d'applications via le Web en utilisant un modèle « logiciel en tant que service » (SaaS).

Pro:

  • Analyse du périmètre Analyse des applications Web
  • Détection des logiciels malveillants

Avec:

  • Limité à dix analyses de sécurité uniques des actifs accessibles sur Internet

Agrippeur

Outil simple et léger qui recherche les vulnérabilités de base des applications Web. Il s'adresse aux développeurs qui souhaitent personnaliser de petites analyses pendant le processus de codage.

Pro:

  • Utile pour les petits sites Web

Avec:

  • Pas d'interface graphique
  • Rapports en XML uniquement
  • A tendance à être un peu lent

Passer à côté

Effectue des tests Black Box des applications Web. Il n'examine pas le code source de l'application mais analyse les pages Web d'une application déployée, à la recherche de scripts et de formulaires dans lesquels il peut injecter des données. Armé de ces données, il agit comme un fuzzer, injectant des charges utiles pour voir si un script est vulnérable.

Pro:

  • Génère des rapports de vulnérabilité dans différents formats (par exemple HTML, XML, JSON, TXT)
  • Peut suspendre et reprendre une analyse ou une attaque
  • Peut mettre en évidence les vulnérabilités avec de la couleur dans le terminal

Avec:

  • Interface de ligne de commande
  • Peut produire plusieurs faux positifs

w3af

Il s'agit d'un cadre d'attaque et d'audit d'applications Web qui peut être utilisé conjointement avec des outils de test d'intrusion. Les sponsors incluent Openware (maintenant Globant), Cybsec, Bonsai et Rapid7. L'entreprise contribue avec enthousiasme aux conférences T2 Infosec, dédiées à ceux qui s'intéressent aux aspects techniques de la sécurité de l'information.

Pro:

  • Application open source populaire et bien prise en charge
  • Interface graphique facile à utiliser
  • Facilement extensible
  • Identifie plus de 200 vulnérabilités
  • Utilise des plugins w3af, qui sont des morceaux de code Python qui étendent les fonctionnalités du framework en fournissant de nouvelles façons d'extraire des URL ou de trouver des vulnérabilités
  • Compatible avec toutes les plateformes prises en charge par Python

Avec:

  • Supporte Windows mais pas officiellement

Logiciel de test d'intrusion

Un test d'intrusion (pen test) est une attaque simulée autorisée sur un système informatique qui recherche des failles de sécurité inconnues. Un outil de test d’intrusion émule essentiellement un pirate informatique, le but ultime étant de tester les capacités de défense de l’organisation contre l’attaque simulée. Lors d’un pen test, un mélange d’analyses automatisées et de techniques d’exploitation manuelles est utilisé. Par exemple, un outil automatisé comme Nmap, qui fournit une découverte de réseau de base, peut être utilisé dans un cadre d'exploitation (par exemple Metasploit).

Les tests d'intrusion nécessitent des compétences hautement spécialisées. Pour commencer, PentesterLabs propose des exercices de formation gratuits et vous trouverez ci-dessous une liste d'outils open source et gratuits pour vous aider à démarrer.

Proxy d'attaque Zed (ZAP)

Outil de test d'intrusion intégré pour rechercher les vulnérabilités des applications Web. Il fonctionne comme un proxy entre le navigateur Web d'un utilisateur et une application pour permettre des tests de sécurité automatisés et manuels des applications Web. Peut aider les développeurs à trouver automatiquement les failles de sécurité dans les applications Web pendant leur développement. Également utilisé par les testeurs d'intrusion pour les tests de sécurité manuels en saisissant une URL pour effectuer une analyse ou en utilisant l'outil comme proxy d'interception. Entre 2013 et 2016, Zap a été élu premier ou deuxième chaque année dans l'enquête annuelle ToolsWatch sur le meilleur outil de sécurité gratuit/Open Source.

Pro:

  • Complètement libre
  • Facile à installer
  • Généralement exécuté comme une interface utilisateur interactive et agit comme un proxy d'interception, afin que vous puissiez modifier les demandes de manière dynamique

Avec:

  • Principalement conçu pour vous aider à trouver manuellement les vulnérabilités de sécurité
  • Pas vraiment destiné à fonctionner comme un scanner purement automatisé

Violoneux

Cet outil est classé comme une application de serveur proxy. Il est principalement utilisé pour intercepter et décrypter le trafic HTTPS. Les utilisateurs peuvent manipuler et inspecter ce trafic pour identifier les vulnérabilités de l'application. Observateur est un module complémentaire Fiddler, conçu pour aider les testeurs d'intrusion à trouver passivement les vulnérabilités des applications Web.

Pro :

  • Déboguer le trafic des systèmes PC, Mac ou Linux et des appareils mobiles (iOS et Android)
  • Peut capturer le trafic local en utilisant le nom de la machine comme nom d'hôte plutôt que « localhost »

Avec:

  • Uniquement pris en charge sous Windows

Métasploit

Framework qui permet aux testeurs d'intrusion d'accéder et d'exécuter des exploits éprouvés, qui sont stockés dans la base de données de Metasploit. Le framework possède la plus grande base de données au monde d’exploits publics et testés. Il s'est régulièrement classé parmi les dix meilleurs outils d'application de sécurité depuis sa création. Le Meterpreter affiche les résultats après qu'un exploit s'est produit.

Pro:

  • Grande base de données d'exploits
  • Vaste collection d'outils pour effectuer des tests

Avec:

  • Interface de ligne de commande

Kali Linux

Kali Linux est l'outil ultime pour les tests d'intrusion offensifs et l'un des frameworks de sécurité les plus populaires du secteur. Cependant, selon les développeurs, ce n'est « PAS une distribution recommandée si vous n'êtes pas familier avec Linux ou si vous recherchez une distribution de bureau Linux à usage général pour le développement, la conception Web, les jeux, etc. »

Pro:

  • Intègre plus de 300 programmes de tests d’intrusion et d’audit de sécurité

Avec:

  • Ne fonctionnera pas dans une VM sauf si vous utilisez un dongle USB sans fil externe

Scanners réseau

Scanners réseau cartographiez l’ensemble de votre réseau et déterminez ce qui y est connecté. Ils peuvent rechercher des hôtes et des ports ouverts, et identifier toutes les versions logicielles et matérielles utilisées. Découvrez les outils gratuits suivants.

Mappeur de réseau (NMap)

Utilisé pour la découverte du réseau et l'audit de sécurité. Utilise les paquets IP bruts de manière innovante pour déterminer quels hôtes sont disponibles sur le réseau, quels services ils offrent, quels systèmes d'exploitation ils exécutent et quel type de filtres de paquets/pare-feu sont utilisés. Il peut être utilisé pour fournir des informations permettant de planifier des attaques de tests d’intrusion. Fait amusant : Nmap a été (apparemment) présenté dans douze films, dont The Matrix Reloaded, Die Hard 4, Girl With the Dragon Tattoo et The Bourne Ultimatum.

Pro:

  • Comprend les versions de ligne de commande et d'interface graphique
  • Fonctionne sur tous les principaux systèmes d'exploitation tels que Windows, Linux et Mac OS X
  • Zenmap est l'interface graphique officielle de Nmap, qui permet aux débutants de démarrer plus facilement.

Avec:

  • Pas d'analyse proxy
  • En tant que scanner de ports, il peut être « bruyant ». Les scanners de ports nécessitent de générer beaucoup de trafic réseau. Il existe une relation inverse entre la furtivité et la vitesse, de sorte que les scanners de ports peuvent ralentir un réseau et/ou se démarquer sur le réseau comme l'éléphant proverbial dans la pièce, c'est-à-dire être « bruyants ».

Requin filaire

Analyseur de protocole réseau et de paquets de données et outil de test de stylet avec un système de filtrage puissant. Wireshark dispose d'une immense armée d'experts en réseaux bénévoles dans le monde entier.

Pro:

  • Permet aux utilisateurs de spécifier le type de trafic qu'ils souhaitent voir, par ex. uniquement les paquets TCP
  • Peut capturer des paquets provenant de VLAN, Bluetooth, USB et d'autres types de trafic réseau. Disponible pour presque toutes les plateformes, notamment Linux, Windows, Mac, Solaris et OpenBSD.
  • Options de filtrage puissantes dans une interface graphique facile à utiliser

Avec:

  • Courbe d'apprentissage abrupte, sauf si vous avez une certaine compréhension des réseaux TCP/IP

Analyseurs de code source statiques

Les analyseurs de code statiques automatisent rapidement la vérification du code sans réellement exécuter le code. Parce qu’ils examinent uniquement le code source d’une application, vous n’avez pas besoin de configurer l’ensemble de votre pile d’applications pour les utiliser. Ces outils sont généralement spécifiques à un langage et peuvent aider les développeurs à identifier les problèmes de sécurité. Les tests unitaires et les revues de code complètent l'analyse de code statique. Le plus gros inconvénient de ces outils gratuits est qu’ils génèrent souvent de nombreux faux positifs.

VisualCodeGrepper

Marche avec C++ , C# , VB , PHP , PL/SQL , et Java .

Pro:

  • Recherche des violations spécifiques des recommandations de l'OWASP
  • Permet des configurations de requêtes personnalisées afin que vous puissiez ajouter des fonctions supplémentaires

Avec:

  • Possède une liste définie de vulnérabilités qui ne peuvent pas être modifiées

Analyse légère pour la sécurité des programmes dans Eclipse (LAPSE+)

Plugin Eclipse qui détecte les vulnérabilités d'injection de données non fiables dans Java Applications EE. Il fonctionne en recherchant un « puits de vulnérabilité » à partir d’une source de vulnérabilité. La source d'une vulnérabilité fait référence à l'injection de données non fiables, par ex. dans les paramètres d'une requête HTTP ou d'un cookie. Le terme « récepteur » fait référence au processus de modification des données pour manipuler le comportement d'une application, par ex. une page HTML.

Pro:

  • Teste la logique de validation sans compiler le code

Avec:

  • N'identifie pas les erreurs de compilation
  • Limité aux IDE Eclipse

Serre-frein

Interroge Rubis sur Rails code. Il est utilisé par Twitter, GitHub et Groupon.

Pro:

  • Installation et configuration faciles
  • Analyses rapides

Avec:

  • Peut montrer un taux élevé de faux positifs

DÉCHIRURES

Selon RIPS, « par tokenisation et en analysant tous les fichiers de code source, RIPS est capable de transformer PHP code source dans un modèle de programme et pour détecter les récepteurs sensibles (fonctions potentiellement vulnérables) qui peuvent être entachés par une entrée utilisateur (influencée par un utilisateur malveillant) pendant le déroulement du programme. Outre la sortie structurée des vulnérabilités trouvées, RIPS offre un cadre d'audit de code intégré. En 2016, une version réécrite de RIPS a été publiée en tant que produit commercial par RIPS Technologies, une entreprise de haute technologie basée en Allemagne.

Pro:

  • Installation et configuration faciles
  • Analyses rapides

Avec:

  • La version gratuite est limitée et ne prend en charge que 15 types de vulnérabilités

FxCOP

Analyse les assemblys de code managé (code qui cible le .FILET Framework Common Language Runtime.) Ceci est un bon exemple de la façon d’utiliser des outils complémentaires dans votre boîte à outils. FxCOP, selon Excella , fonctionne mieux en conjonction avec un outil d'analyse de code statique comme StyleCop, car les deux outils ont des approches d'analyse de code différentes. « StyleCop s'exécute sur le code source C# mais ne peut pas analyser le code source de VB.NET ou d'un autre langage .NET. FxCop s'exécute sur les binaires compilés .NET mais ne peut pas analyser le code source et des aspects tels que l'utilisation appropriée des accolades, des espaces ou des commentaires.

Pro:

  • Les métadonnées d'assembly fonctionnent avec le code créé dans n'importe quel langage .NET
  • Ensemble complet de règles disponibles immédiatement

Avec:

  • Limité aux métadonnées d'assemblage
  • Produit un seul type de rapport

Bandit

Bandit est un linter de sécurité (un programme qui analyse le code source et signale toutes les constructions susceptibles d'être des bogues) pour le code source Python, utilisant le module ast de la bibliothèque standard Python. Le module ast est utilisé pour convertir le code source en un arbre analysé de nœuds de syntaxe Python. Bandit permet aux utilisateurs de définir des tests personnalisés effectués sur ces nœuds.

Pro:

  • Extrêmement personnalisable, par ex. divers plug-ins peuvent être désactivés ou certains répertoires peuvent être exclus des analyses
  • Les utilisateurs peuvent également écrire leurs propres plug-ins personnalisés

Avec:

  • Pas d'interface graphique

Outils de fuzzing

Les tests de fuzz (fuzzing) sont utilisés pour identifier les erreurs de codage et les vulnérabilités de sécurité. Cela implique la saisie de grandes quantités de données aléatoires pour tenter de faire planter une application ou un réseau.

Lop flou américain (AFL)

Un outil de test de fuzz open source assisté par couverture développé par Michał Zalewski de Google. Il décrit son outil comme « un fuzzer à force brute couplé à un algorithme génétique guidé par instrument extrêmement simple mais solide comme le roc ». L'AFL a découvert des vulnérabilités dans diverses applications Web populaires, notamment Firefox, Flash, LibreOffice, Internet Explorer et Apple Safari.

Pro:

  • Ce que Zalewski appelle une « interface utilisateur branchée et de style rétro »
  • Efficacité prouvée

Avec:

  • Il faut être soi-même un peu rétro pour vraiment apprécier l'interface graphique (à l'ancienne)

Cadre de flou Sulley

Un moteur de fuzzing populaire et un cadre de test de fuzz composé de plusieurs composants extensibles. Ce qui le différencie des autres fuzzers, c'est qu'il ne s'agit pas uniquement d'un outil de génération de données. Il détecte, suit et catégorise les défauts détectés ; peut fuzz en parallèle, augmentant considérablement la vitesse de test ; et peut déterminer automatiquement quelle séquence unique de scénarios de test déclenche des erreurs. Boofuzz est un fork du framework de fuzzing Sulley.

Pro:

  • Entièrement automatisé : après avoir provoqué une panne, il peut automatiquement réinitialiser le système à un état de normalité, puis continuer à fuzzer un nouveau scénario de test.

Avec:

  • Aucune mise à jour de version récente

Outils de piratage de mots de passe

Ces outils gratuits sont utilisés par les administrateurs de sécurité pour trouver des mots de passe faibles et vulnérables qui pourraient facilement être compromis par un pirate informatique. Les trois attaques de mot de passe les plus courantes sont :

  • Dictionnaire : utilise un fichier fourni qui contient une liste de mots du dictionnaire.
  • Force brute : A l'aide d'une liste de dictionnaires, essaie systématiquement toutes les combinaisons possibles pour un mot de passe. À moins que l'attaquant n'ait de la chance, ce processus peut prendre un certain temps, en particulier pour les mots de passe longs utilisant une combinaison de lettres, de chiffres et de symboles.
  • Tableau arc-en-ciel : La plupart des bases de données stockent les hachages cryptographiques des mots de passe des utilisateurs dans une base de données. Personne ne peut déterminer le mot de passe d’un utilisateur simplement en regardant la valeur stockée dans la base de données. Lorsqu'un utilisateur saisit son mot de passe, celui-ci est haché et ce résultat est comparé à l'entrée stockée pour cet utilisateur. Si les deux hachages correspondent, l'accès est accordé. Une table de hachage est une sorte de table de référence utilisée par les pirates. Ces hachages de mot de passe précalculés sont stockés dans le tableau pour réduire le temps nécessaire pour déchiffrer un mot de passe. Les tables Rainbow vont encore plus loin en réduisant la taille de la table de hachage, ce qui les rend plus efficaces.

Hydra de THC

THC Hydra est un outil de piratage de connexion réseau qui utilise des attaques par dictionnaire ou par force brute pour essayer diverses combinaisons de mots de passe et de connexion sur une page de connexion.

Pro:

  • Prend en charge un large éventail de protocoles, notamment la messagerie (POP3, IMAP, etc.), LDAP, SMB, VNC et SSH
  • Prend en charge la plupart des principales plates-formes

Pied de biche

Outil d'attaque par force brute qui peut être utilisé lors des tests d'intrusion.

Pro:

  • Crowbar peut utiliser des clés SSH au lieu de la combinaison typique de nom d'utilisateur et de mot de passe

Avec:

  • Ligne de commande uniquement

Jean l'éventreur

Utilise la technique d'attaque par dictionnaire. C'est un bon outil polyvalent comprenant une suite de diverses combinaisons de piratage de mots de passe.

Pro:

  • Possibilité de détecter automatiquement le mot de passe types de hachage
  • Prend en charge la plupart des principales plates-formes

OphCrack

Cracker de mot de passe Windows basé sur des tables arc-en-ciel.

Pro:

  • Comprend un module de force brute pour les mots de passe simples
  • Prend en charge la plupart des principales plates-formes

Outils de sécurité WordPress

Des outils de sécurité spécialisés pour les sites Web WordPress peuvent être obtenus sur wordpress.org . WordPress est si populaire qu’il existe de nombreuses critiques de plugins, offrant un aperçu assez objectif des fonctionnalités d’un outil. Examinons quelques-unes des offres les plus populaires.

Clôture de mots

Inclut la sécurité de connexion ; Fonctionnalités de blocage IP ; analyse de sécurité à la recherche de logiciels malveillants et de « portes dérobées » ; protection par pare-feu ; et des options de surveillance étendues.

Sécurité iThemes

Décrit par les développeurs comme le plugin de sécurité WordPress n°1. Cependant, lisez les avis négatifs avant de télécharger ce plugin. Un critique aux yeux d'aigle a souligné que lorsque iThemes s'est retrouvé compromis puis attaqué en 2016, ils ont déployé un nouveau pare-feu de site Web de son rival Sucuri. Est-ce important? Soyez le juge.

Jus de sécurité

La meilleure chose que Sucuri Security est que toutes les fonctionnalités sont gratuites. Le plugin premium est obsolète en 2014 et toutes les fonctionnalités principales ont été fusionnées dans le plugin gratuit.

Outils d'analyse de sites Web en ligne

Les outils gratuits en ligne sont rapides et faciles à utiliser. Bien qu’ils ne garantissent pas d’identifier de manière concluante les vulnérabilités de votre site Web, ils peuvent vous aider à identifier les domaines qui nécessitent une enquête plus approfondie.

Jus

Entrez l'adresse de votre site Web pour un résumé gratuit des vulnérabilités potentielles du site Web. Vérifie les logiciels malveillants connus, l'état de la liste noire, les erreurs de sites Web et les logiciels obsolètes.

Pro:

  • Pas besoin de saisir votre adresse email pour recevoir les résultats

Vérification WP

Comprend une liste complète des problèmes de site Web, notamment les performances, le référencement et la sécurité.

Pro:

  • Fournit plus d’informations que les autres outils. La numérisation prend un peu plus de temps (mais c'est bien, non ?)
  • Pas besoin de saisir votre adresse email mais vous pouvez demander que les résultats vous soient envoyés par email

Avec:

  • Vous devez vous inscrire pour un essai gratuit de 30 jours pour savoir comment résoudre les problèmes graves.
  • Limité à une analyse par jour

Test du serveur SSL Qualys

Effectue une analyse approfondie de la configuration des serveurs Web SSL.

Pro:

  • Pas besoin de s'inscrire
  • Fournit une liste complète des problèmes d’obsolescence et de compatibilité SSL

Inspecteur Web

Analyse la page Web pour voir si elle est malveillante ou non.

Avec:

  • Ne numérisera qu'une seule page à la fois

ASafaWeb

Ne tente aucune séquence d'attaque ou autre activité malveillante ; il fait simplement quelques requêtes bénignes pour voir comment le site répond.

Pro:

  • ASafaWeb dispose d'un site dédié pas si sûr uniquement à des fins de démonstration sur notasafaweb.apphb.com que vous pouvez numériser et afficher les résultats.

SecurityHeaders.io

Cet outil gratuit teste les en-têtes de sites Web. Selon le développeur, les en-têtes de réponse HTTP analysés par ce site offrent d'énormes niveaux de protection. Par exemple, la politique de sécurité du contenu (CSP) est une mesure efficace pour protéger votre site contre les attaques XSS. En mettant sur liste blanche les sources de contenu approuvé, vous pouvez empêcher le navigateur de charger des ressources malveillantes.

Pro:

  • Rapide et fournit une description complète des en-têtes manquants et comment résoudre les problèmes

Où aller ensuite ?

Visiter le Projet d'évaluation du scanner de vulnérabilités des applications Web (wavsep) site web. Wavsep est une plateforme d'évaluation qui contient une collection de pages Web vulnérables uniques pouvant être utilisées pour tester les différentes propriétés des scanners d'applications Web. Vous pouvez consulter les analyses de la manière dont différents scanners, gratuits et commerciaux, ont été testés par rapport à wavsep. ici . Les résultats indiquent la précision avec laquelle ces scanners identifient les vulnérabilités courantes des sites Web et le nombre de faux positifs qu'ils ont générés lors des tests de référence. Vous trouverez de nombreux outils gratuits mentionnés dans cet article sur le site Wavsep.

Bons tests !

' Craquelins » par elhombredenegro sous licence CC PAR 2.0

^