julio38 a dit:Enfin à pas trop abuser si t'es pas ton propre hébergeur
Va pas etre content celui-la si tu fais planter ses serveurs !
Par exemple ici : http://www.phpsecure.info/v2/.php?zone=pArticlejeffousse a dit:Et quand on y connait rien ??? Où peut-on trouver des infos sur les attaques que l'on peut mener contre ses sites ???
cedfr a dit:Ou alors tu te lance des attaques et tu regarde le résultat (c'est peut être barbare, mais c'est efficace) :lol:
Je suis désolé de te contredire mais il suffit de lancer des attaques "connues" (type injection SQL, DOS...) et puis lancer d'autres attaques que l'on connaît et que l'on sait effectué afin de tester différents points de sécurité dans un site.shrom a dit:Totalement inefficace si on sait pas ou chercher la faille et quel type de faille rechercher. Il n'y a pas de faille standard dans un programme.
cedfr a dit:Je suis désolé de te contredire mais il suffit de lancer des attaques "connues" (type injection SQL, DOS...) et puis lancer d'autres attaques que l'on connaît et que l'on sait effectué afin de tester différents points de sécurité dans un site.
jeffousse a dit:Quelqu'un à une liste de contact de hacker
jeffousse a dit:Quelqu'un connait le prix d'un audit sécurité pour un site ?
Je suis désolé, mais ce n'est pas en regardant son code source qu'on va svoir si le site est vulnérable ou non. Cette tâche (de contrôler son code) est a effectué lors du codage (tout bon webmaster se doit de vérifier au moment de son codage, l'intégrité de ce dernier).shrom a dit:Si tu crois qu'il *suffit* de tester des attaques connues pour tester la sécurité d'un site, je ne donne pas cher de celle de ton/tes site/s. De cette façon, on se protège des script kiddies pas du hack de son site.
C'est bien parce qu'il est impossible d'automatiser les tests de sécurité d'un site qu'il existe des concours comme ceux de NGSEC.
Les erreurs de conception et de programmation sont rarement standards, un type d'injection SQL peut marcher sur un site et pas sur un autre. D'autant que le nombre de failles potentielles est quasi infini.
La seule solution fiable est de faire un audit du code source pour détecter les mauvaises conceptions et les failles potentielles.
cedfr a dit:Je suis désolé, mais ce n'est pas en regardant son code source qu'on va svoir si le site est vulnérable ou non.
Cette tâche (de contrôler son code) est a effectué lors du codage (tout bon webmaster se doit de vérifier au moment de son codage, l'intégrité de ce dernier).
Ensuite, il est beaucoup plus intéressant de tenter des attaques pour les déceler
Pour ma part, j'ai toujours tester mes sites en les attaquants (comme beaucoup de mes confrères avec qui je parle quotidiennement).
Le mieux est de passer à l'acte et de se mettre dans la peau d'un hacker. Il faut se demander ce que pourrait faire l'autre et anticiper (ça parait même logique).
cedfr a dit:Si vous parlez de référence, je peux alors citer la moitié des sociétés multinationales qui engagent des hackeurs professionnels pour des contrats et qui ont pour fonction de mettre à rude épreuve les script, les sites afin de vérifier plusieurs points de sécurité.
shrom a dit:Justement, ce sont des hackers pro qui font autre chose que de tester s'il y a des possibilités d'injection SQL et autres bouts de scripts trouvés sur phpsecure.info ou fr.comp.securite.
Ils testent avant tout la sécurité du système ( firewall, config des serveurs, possibilités de DOS, tentative de MIM, scan infrastructure réseau, social engineering ... ).
spout a dit:Topic déterré mais je répond quand même:
Pour les failles d'injection SQL: SQL Inject Me: https://addons.mozilla.org/en-US/firefox/addon/7597
Un phpinfo() pour la sécurité: http://phpsec.org/projects/phpsecinfo/
Pour des failles exploitables: http://www.milw0rm.com/
Autre site intéressant: http://www.phpsecure.info/
Injection de headers dans la fonction mail(): http://www.phpsecure.info/v2/article/MailHeadersInject.php
iXav a dit:Il date ce topic !
Mais je me pose la même question. Dans le numéro 227 de Capital ils parlent d'un logiciel gratuit iranien qui peut être utilisé facilement pour détecter les failles d'un site. J'imagine bien que personne ne me donnera le nom de ce logiciel, mais je me demande néanmoins comment faire pour le trouver et lui soumettre mon site web pour envoyer les failles à mon agence web pour corrections.
iXav a dit:Est-ce que je peux demander à mon agence de web (qui fait notre site web et qui est censé s'assurer qu'il soit solide niveau sécurité) de le tester en ma présence ? (en ma présence = plus par curiosité que par manque de confiance).
guicara a dit:iXav a dit:Est-ce que je peux demander à mon agence de web (qui fait notre site web et qui est censé s'assurer qu'il soit solide niveau sécurité) de le tester en ma présence ? (en ma présence = plus par curiosité que par manque de confiance).
S'il font bien leur jobs ils seront tout content de te montrer que le logiciel en question n'arrive pas à trouver de failles
Confier la vérification d'un produit a celui qui le fabrique est sûrement la plus mauvaise idée qui soit (bonjour l'impartialité).iXav a dit:Est-ce que je peux demander à mon agence de web (qui fait notre site web et qui est censé s'assurer qu'il soit solide niveau sécurité) de le tester en ma présence ?
les machines virtuelles et les anti virus ne sont pas là juste pour faire beau dans la vitrine :wink:iXav a dit:Le truc c'est que je n'ai pas envie de donner ce logiciel à un ami qui à un PC... si ce logiciel a un spyware ou que-sais-je, ce serait pas cool.