Google lance RatProxy, un détecteur de failles Web

[BadProcESs]

Sous licence open source Apache, Google a lancé son nouvel outil de détection de failles sur les sites Web (actuellement en version beta), nommé RatProxy.

=> http://code.google.com/p/ratproxy/

[TOMHTML]

Tout le monde en parle mais... y a-t-il vraiment quelqu'un qui ait testé ce truc ? sérieux...

[pierre_jean]

Bonjour,

Effectivement ça l'air interessant mais encore faut-il savoir le faire fonctionné

une fois compilé et executé sur un domaine en local j'ai :

Code: Tout sélectionner

ratproxy version 1.51-beta by <lcamtuf@google.com>
[*] Proxy configured successfully. Have fun, and please do not be evil.
[+] Accepting connections on port 8080/tcp (local only)...


le script me créé bien mon répertoire et fichier de log ... mais ils restent vides ... et je suis obligé d'arreter sauvagement le script

Quelqu'un a t-il déjà essayé et réussit à exploiter ce script ?

[BadProcESs]

Je pense qu'il faut que tu configure ton navigateur pour qu'il utilise le proxy (localhost:8080)

[pierre_jean]

Je pense qu'il faut que tu configure ton navigateur pour qu'il utilise le proxy (localhost:8080)

+1 j'ai voulu essayé trop vite

C'est pas mal on peut également exporter les logs en html et je m'aperçoit donc que mes png ne renvoient pas des headers corrects :

Code: Tout sélectionner

PNG images with no Content-Disposition: attachment header. In Internet Explorer 6, this may trigger content sniffing and potentially lead to cross-site scripting flaws if the image is user-supplied.

GET http://www.domain.local:80/images/image1.png ⇒ 200 [view trace]
Response (76609): ‰PNG\r\n\x1a\n
MIME type: image/png, detected: image/png, charset: -


pourtant dans mon fichier d'apache mime.types j'ai bien la ligne :

Code: Tout sélectionner

image/png png


une idée ?