• About
  • Advertise
  • Privacy & Policy
  • Contact
Tech News, Magazine & Review WordPress Theme 2017
  • ACCUEIL
  • TECHNOLOGIES
    Essayez une application Web, une technologie largement inconnue mais excellente.

    Essayez une application Web, une technologie largement inconnue mais excellente.

    La technologie de refroidissement liquide d’Asetek alimente le refroidisseur de processeur le plus performant de TEAMGROUP à ce jour

    La technologie de refroidissement liquide d’Asetek alimente le refroidisseur de processeur le plus performant de TEAMGROUP à ce jour

    Les entreprises publiques investies dans Scott Technology Limited (NZSE:SCT) ont subi le plus gros de la baisse de la capitalisation boursière de 24 millions de dollars néo-zélandais la semaine dernière

    Principal Financial Group Inc. détient 7,32 millions de dollars d’actions dans DXC Technology (NYSE:DXC)

    Principal Financial Group Inc. détient 7,32 millions de dollars d’actions dans DXC Technology (NYSE:DXC)

    La gauche et la droite s’accordent sur une chose : nous avons besoin de plus de données sur les médias sociaux

    La gauche et la droite s’accordent sur une chose : nous avons besoin de plus de données sur les médias sociaux

    La start-up de l’Université du Vermont vise à révolutionner l’énergie solaire

    La start-up de l’Université du Vermont vise à révolutionner l’énergie solaire

  • PORTRAIT
    Le portrait de Leonardo DiCaprio de Damien Hirst vendu 1,2 million de dollars

    Le portrait de Leonardo DiCaprio de Damien Hirst vendu 1,2 million de dollars

    29 mai : Le portrait officiel de Tinubu dévoilé

    29 mai : Le portrait officiel de Tinubu dévoilé

    Un seul anneau lumineux ?  Je ne peux pas croire que les configurations de portrait puissent être aussi faciles !

    Un seul anneau lumineux ? Je ne peux pas croire que les configurations de portrait puissent être aussi faciles !

    Pourquoi prendre un selfie quand on peut faire un portrait ?  Découvrez-le lors de cette expo photo d’Easton.

    Pourquoi prendre un selfie quand on peut faire un portrait ? Découvrez-le lors de cette expo photo d’Easton.

    Portrait du chien de Marie-Antoinette Skyrockets aux enchères

    Portrait du chien de Marie-Antoinette Skyrockets aux enchères

    Portraits puissants de Drag Queens en costume et hors costume

    Portraits puissants de Drag Queens en costume et hors costume

  • JEUX
    “The Witcher 3” est devenu le 9e (ou 3e) jeu le plus vendu de l’histoire

    “The Witcher 3” est devenu le 9e (ou 3e) jeu le plus vendu de l’histoire

    Revue du remake de System Shock : le PC classique revient à la vie

    Revue du remake de System Shock : le PC classique revient à la vie

    Gérez la faille entre l’enfer et la terre dans le prochain jeu de défense de tour ‘Heretic’s Fork’ [Trailer]

    Gérez la faille entre l’enfer et la terre dans le prochain jeu de défense de tour ‘Heretic’s Fork’ [Trailer]

    Erling Haaland révèle enfin son jeu vidéo préféré après l’avoir qualifié d'”embarrassant”

    Erling Haaland révèle enfin son jeu vidéo préféré après l’avoir qualifié d'”embarrassant”

    ‘Diablo IV’ Creators Reveal What’s Back, What’s New In Upcoming Game – Rolling Stone

    ‘Diablo IV’ Creators Reveal What’s Back, What’s New In Upcoming Game – Rolling Stone

    Le jeu vidéo Diablo IV reçoit une bande-annonce réalisée par Chloe Zhao

    Le jeu vidéo Diablo IV reçoit une bande-annonce réalisée par Chloe Zhao

  • TUTORIELS
    • All
    • HTML5 / CSS3
    • JavaScript
    • PHP / MySql
    • Python
    Restaurant – Thème WordPress pour restaurant

    Restaurant – Thème WordPress pour restaurant

    10 meilleurs outils de conception graphique AI (mai 2023)

    10 meilleurs outils de conception graphique AI (mai 2023)

    La vulnérabilité du plugin de sécurité WordPress affecte +1 million de sites

    La vulnérabilité du plugin de sécurité WordPress affecte +1 million de sites

    Voile |  Thème WordPress pour hôtel

    Voile | Thème WordPress pour hôtel

    Le système NiDAR Command and Control (C2) et Counter Uncrewed Aerial System (CUAS) acquis par Federal Fleet Services pour installation sur le navire de soutien au combat canadien Astérix ;  MARSS s’étend au Canada

    Le système NiDAR Command and Control (C2) et Counter Uncrewed Aerial System (CUAS) acquis par Federal Fleet Services pour installation sur le navire de soutien au combat canadien Astérix ; MARSS s’étend au Canada

    Gita – Thème WordPress pour les enseignements spirituels et le yoga

    Gita – Thème WordPress pour les enseignements spirituels et le yoga

    Trending Tags

    • Best iPhone 7 deals
    • Apple Watch 2
    • Nintendo Switch
    • CES 2017
    • Playstation 4 Pro
    • iOS 10
    • iPhone 7
    • Sillicon Valley
  • MOBILES
    Taille du marché des métaux liquides pour téléphones mobiles 2023

    Taille du marché des métaux liquides pour téléphones mobiles 2023

    La répression des Philippines contre les cartes SIM anonymes provoque une réaction violente |  Affaires et économie

    La répression des Philippines contre les cartes SIM anonymes provoque une réaction violente | Affaires et économie

    Les marcheurs voient le côté amusant de la solution low-tech au point mort du téléphone portable de Snowdonia

    Les marcheurs voient le côté amusant de la solution low-tech au point mort du téléphone portable de Snowdonia

    Utilisation du téléphone portable liée au risque d’hypertension artérielle

    Utilisation du téléphone portable liée au risque d’hypertension artérielle

    La dernière promotion de T-Mobile est destinée aux commutateurs Internet 5G

    La dernière promotion de T-Mobile est destinée aux commutateurs Internet 5G

    Forever 8 et Mobi-hub Ltd. annoncent un partenariat stratégique pour l’industrie des téléphones portables reconditionnés

    Forever 8 et Mobi-hub Ltd. annoncent un partenariat stratégique pour l’industrie des téléphones portables reconditionnés

  • CONTACT
No Result
View All Result
  • ACCUEIL
  • TECHNOLOGIES
    Essayez une application Web, une technologie largement inconnue mais excellente.

    Essayez une application Web, une technologie largement inconnue mais excellente.

    La technologie de refroidissement liquide d’Asetek alimente le refroidisseur de processeur le plus performant de TEAMGROUP à ce jour

    La technologie de refroidissement liquide d’Asetek alimente le refroidisseur de processeur le plus performant de TEAMGROUP à ce jour

    Les entreprises publiques investies dans Scott Technology Limited (NZSE:SCT) ont subi le plus gros de la baisse de la capitalisation boursière de 24 millions de dollars néo-zélandais la semaine dernière

    Principal Financial Group Inc. détient 7,32 millions de dollars d’actions dans DXC Technology (NYSE:DXC)

    Principal Financial Group Inc. détient 7,32 millions de dollars d’actions dans DXC Technology (NYSE:DXC)

    La gauche et la droite s’accordent sur une chose : nous avons besoin de plus de données sur les médias sociaux

    La gauche et la droite s’accordent sur une chose : nous avons besoin de plus de données sur les médias sociaux

    La start-up de l’Université du Vermont vise à révolutionner l’énergie solaire

    La start-up de l’Université du Vermont vise à révolutionner l’énergie solaire

  • PORTRAIT
    Le portrait de Leonardo DiCaprio de Damien Hirst vendu 1,2 million de dollars

    Le portrait de Leonardo DiCaprio de Damien Hirst vendu 1,2 million de dollars

    29 mai : Le portrait officiel de Tinubu dévoilé

    29 mai : Le portrait officiel de Tinubu dévoilé

    Un seul anneau lumineux ?  Je ne peux pas croire que les configurations de portrait puissent être aussi faciles !

    Un seul anneau lumineux ? Je ne peux pas croire que les configurations de portrait puissent être aussi faciles !

    Pourquoi prendre un selfie quand on peut faire un portrait ?  Découvrez-le lors de cette expo photo d’Easton.

    Pourquoi prendre un selfie quand on peut faire un portrait ? Découvrez-le lors de cette expo photo d’Easton.

    Portrait du chien de Marie-Antoinette Skyrockets aux enchères

    Portrait du chien de Marie-Antoinette Skyrockets aux enchères

    Portraits puissants de Drag Queens en costume et hors costume

    Portraits puissants de Drag Queens en costume et hors costume

  • JEUX
    “The Witcher 3” est devenu le 9e (ou 3e) jeu le plus vendu de l’histoire

    “The Witcher 3” est devenu le 9e (ou 3e) jeu le plus vendu de l’histoire

    Revue du remake de System Shock : le PC classique revient à la vie

    Revue du remake de System Shock : le PC classique revient à la vie

    Gérez la faille entre l’enfer et la terre dans le prochain jeu de défense de tour ‘Heretic’s Fork’ [Trailer]

    Gérez la faille entre l’enfer et la terre dans le prochain jeu de défense de tour ‘Heretic’s Fork’ [Trailer]

    Erling Haaland révèle enfin son jeu vidéo préféré après l’avoir qualifié d'”embarrassant”

    Erling Haaland révèle enfin son jeu vidéo préféré après l’avoir qualifié d'”embarrassant”

    ‘Diablo IV’ Creators Reveal What’s Back, What’s New In Upcoming Game – Rolling Stone

    ‘Diablo IV’ Creators Reveal What’s Back, What’s New In Upcoming Game – Rolling Stone

    Le jeu vidéo Diablo IV reçoit une bande-annonce réalisée par Chloe Zhao

    Le jeu vidéo Diablo IV reçoit une bande-annonce réalisée par Chloe Zhao

  • TUTORIELS
    • All
    • HTML5 / CSS3
    • JavaScript
    • PHP / MySql
    • Python
    Restaurant – Thème WordPress pour restaurant

    Restaurant – Thème WordPress pour restaurant

    10 meilleurs outils de conception graphique AI (mai 2023)

    10 meilleurs outils de conception graphique AI (mai 2023)

    La vulnérabilité du plugin de sécurité WordPress affecte +1 million de sites

    La vulnérabilité du plugin de sécurité WordPress affecte +1 million de sites

    Voile |  Thème WordPress pour hôtel

    Voile | Thème WordPress pour hôtel

    Le système NiDAR Command and Control (C2) et Counter Uncrewed Aerial System (CUAS) acquis par Federal Fleet Services pour installation sur le navire de soutien au combat canadien Astérix ;  MARSS s’étend au Canada

    Le système NiDAR Command and Control (C2) et Counter Uncrewed Aerial System (CUAS) acquis par Federal Fleet Services pour installation sur le navire de soutien au combat canadien Astérix ; MARSS s’étend au Canada

    Gita – Thème WordPress pour les enseignements spirituels et le yoga

    Gita – Thème WordPress pour les enseignements spirituels et le yoga

    Trending Tags

    • Best iPhone 7 deals
    • Apple Watch 2
    • Nintendo Switch
    • CES 2017
    • Playstation 4 Pro
    • iOS 10
    • iPhone 7
    • Sillicon Valley
  • MOBILES
    Taille du marché des métaux liquides pour téléphones mobiles 2023

    Taille du marché des métaux liquides pour téléphones mobiles 2023

    La répression des Philippines contre les cartes SIM anonymes provoque une réaction violente |  Affaires et économie

    La répression des Philippines contre les cartes SIM anonymes provoque une réaction violente | Affaires et économie

    Les marcheurs voient le côté amusant de la solution low-tech au point mort du téléphone portable de Snowdonia

    Les marcheurs voient le côté amusant de la solution low-tech au point mort du téléphone portable de Snowdonia

    Utilisation du téléphone portable liée au risque d’hypertension artérielle

    Utilisation du téléphone portable liée au risque d’hypertension artérielle

    La dernière promotion de T-Mobile est destinée aux commutateurs Internet 5G

    La dernière promotion de T-Mobile est destinée aux commutateurs Internet 5G

    Forever 8 et Mobi-hub Ltd. annoncent un partenariat stratégique pour l’industrie des téléphones portables reconditionnés

    Forever 8 et Mobi-hub Ltd. annoncent un partenariat stratégique pour l’industrie des téléphones portables reconditionnés

  • CONTACT
No Result
View All Result
Technique de pointe
No Result
View All Result
Home Générale

Comment rechercher des vulnérabilités sur un site Web

Caleb by Caleb
mars 11, 2021
154
Comment rechercher des vulnérabilités sur un site Web
Share on FacebookShare on Twitter


Internet héberge environ 1,8 milliard de sites Web. Beaucoup d’entre eux ont des vulnérabilités qui les transforment en proies faciles pour cybercriminels. Selon les chercheurs découvertes récentes, plus de 56% des installations de systèmes de gestion de contenu (CMS) sont obsolètes et donc susceptibles d’être compromises. Une autre étude dit 19% des applications Web exécutées sur des sites Web sont vulnérables.

Dans un contexte mondial, ces statistiques se traduisent par un gigantesque surface d’attaque.

Évaluation de la vulnérabilité du site Web 101

De manière générale, tous les sites Web existants peuvent être divisés en trois catégories principales:

  • Codé à la main (écrit manuellement en HTML, créé avec un générateur de site statique tel que Jekyll, ou conçu à l’aide d’un outil de développement Web tel qu’Adobe Dreamweaver).
  • Créé avec des constructeurs de sites Web (pour la plupart, il s’agit de sites simples ne contenant pas de bases de données et d’éléments d’interaction avec l’utilisateur).
  • Basé sur CMS (réalisé avec des systèmes de gestion de contenu clé en main).

Une plate-forme CMS unique en son genre conçue sur mesure pour un site spécifique est un type plus exotique. Il devient de plus en plus obsolète de nos jours en raison des coûts de développement élevés que peu d’entreprises peuvent se permettre. Cela dit, la grande majorité des sites Web sont basés sur des systèmes de gestion de contenu.

Pour un pirate informatique, les plates-formes CMS ne diffèrent guère des autres services Web en termes d’exploitation. Leur code sous-jacent est accessible au public, et par conséquent, n’importe qui peut l’examiner à la recherche de bogues ainsi que de failles de sécurité. Cela explique pourquoi les sites Web basés sur des CMS sont rarement victimes d’attaques ciblées. Au lieu de cela, ils ont tendance à être piratés «en masse».

Cette forme de compromis est automatisée et suit généralement une voie bien tracée. Tout d’abord, un malfaiteur identifie une vulnérabilité zero-day ou une faille récemment découverte dans le CMS cible. Ensuite, il crée un exploit et conçoit un robot qui scanne tous les sites Web dans une plage spécifiée pour la vulnérabilité en question.

À première vue, il peut sembler que repousser ces hacks automatisés consiste à maintenir l’installation du CMS à jour. Cependant, comme les fonctionnalités de ces sites Web sont étendues à travers divers plugins sur toute la ligne, il est problématique de se tenir au courant de cet écosystème de plus en plus complexe.

Lorsqu’un test de pénétration est en cours, l’objectif du chapeau blanc est d’inspecter minutieusement un site Web spécifique pour détecter les vulnérabilités afin qu’un attaquant potentiel ne puisse pas les exploiter. Jetons un coup d’œil à ce processus à plusieurs volets.

Reconnaissance du site Web

Avant d’essayer de compromettre un site, un pentester (testeur de pénétration) doit collecter des informations à son sujet. Un outil appelé WhatWeb peut faire l’affaire. Il récupère les détails concernant le CMS et les composants supplémentaires en cours d’utilisation.

Il est préférable de lancer WhatWeb avec la touche «-a», puis de spécifier la valeur 3 ou 4. La seule différence entre les deux est que dans ce dernier scénario, l’utilitaire traversera en plus les sous-répertoires. Gardez à l’esprit que l’une ou l’autre option déclenche un mécanisme d’interrogation simple qui couvre l’intégralité des journaux diffusés vers le serveur.

S’il est correctement configuré, l’outil renverra la géolocalisation du site et les détails du CMS. Il permettra également au pentester de savoir si le site utilise PHP ou jQuery. Cette information suffit pour lancer un procès d’attaque. Au cas où vous auriez simplement besoin de déterminer le type de CMS, il existe des services qui fournissent ces informations en un clin d’œil.

Au fait, voici les dernières statistiques reflétant la part de marché des différentes plateformes CMS:

  • WordPress: 64,1%
  • Shopify: 5,2%
  • Joomla: 3,5%
  • Espace carré: 2,5%
  • Drupal: 2,4%.

Comment vérifier les vulnérabilités d’un site WordPress

Parce que WordPress domine actuellement l’écosystème CMS, passons d’abord en revue les méthodes pour repérer les faiblesses des sites Web qui l’exécutent. Il existe un scanner extrêmement efficace que vous pouvez utiliser – il s’appelle WPScan.

Il peut récupérer la version WordPress, forcer brutalement le tableau de bord d’administration via un dictionnaire intégré, repérer les répertoires ouverts vulnérables, détecter tous les plugins installés et faire beaucoup d’autres choses intéressantes. Il est également inclus en tant que module séparé dans Kali Linux et d’autres instruments de pentestage populaires. Vous pouvez utiliser son Version Docker Hub si vous le désirez, aussi.

D’où je suis, les commandes et les touches de WPScan pourraient utiliser une certaine simplification. Par exemple, l’outil est livré avec deux modules d’aide: un bref et un détaillé. C’est un peu redondant.

Vous devrez mettre à jour la base de données de WPScan si vous êtes sur le point de l’utiliser pour la première fois. Une fois terminé, vous pouvez exécuter une analyse. Voici les détails importants que le rapport d’analyse comprendra:

  • Version WordPress;
  • répertoires ouverts;
  • vulnérabilités potentielles; et
  • des hyperliens vers des ressources décrivant ces vulnérabilités.

L’outil affiche des points d’exclamation pour signaler les éléments qui ne correspondent pas aux bonnes pratiques de sécurité. Un exemple est un fichier wp-config.php non sécurisé contenant les informations d’identification d’accès à la base de données.

Comme mentionné précédemment, cet utilitaire peut également forcer brutalement le nom d’utilisateur et le mot de passe du panneau d’administration. Ce flux de travail est ultra-rapide car il tire parti du multithreading. En d’autres termes, WPScan ne prendra pas longtemps pour récupérer les informations d’identification faibles. L’accès à la base de données WP est tout aussi simple si l’administrateur a spécifié un mot de passe qui n’est pas assez fort.

Alors que ces détails pourraient suffire à un attaquant pour prendre le contrôle du site moyen, il y a encore pas mal de choses à vérifier. Ceux-ci incluent des plugins WP et d’autres points d’entrée potentiels.

Si le scanner ne détecte aucun plug-in sur le site Web cible, cela ne signifie pas nécessairement qu’aucun plug-in n’est installé. Cela pourrait être le résultat de restrictions inhérentes à un mode d’analyse passive. Pour identifier les plugins plus efficacement, envisagez d’appliquer un mode d’exploration agressif.

De cette façon, le scanner peut localiser avec précision tous les plugins, y compris les plus vulnérables. Sachez que cela prend généralement un temps décent. Si le site est hébergé sur un serveur distant, la vitesse sera plus faible. En règle générale, cela ne prendra pas moins d’une demi-heure.

De plus, utilisez le CVE service de vérification des identifiants des vulnérabilités documentées. Par exemple, vous voudrez peut-être passer en revue les failles de la version PHP que le CMS utilise. Dans le cadre de la recherche, recherchez des Modules Metasploit pour WP et leur donner une chance.

Vérification d’un site Joomla pour les vulnérabilités

Joomla, un autre CMS populaire, peut être sondé pour les faiblesses à l’aide d’un outil appelé JoomScan. Il a été créé par des chercheurs du projet Open Web Application Security (OWASP). Il ressemble à WPScan à bien des égards, sauf qu’il n’a pas autant de fonctionnalités sous le capot. Il est intégré à de nombreux outils de pentesting (test de pénétration) et son manuel d’utilisation ne contient que quelques lignes de texte.

JoomScan prend en charge une méthode agressive d’analyse des composants du site Web. Son rapport d’analyse inclut la version du CMS, les CVEs correspondant aux vulnérabilités détectées, et des liens menant à des exploits connus qui peuvent être déclenchés pour compromettre le site. De plus, il répertorie tous les répertoires du site et un lien hypertexte vers le fichier de configuration si l’administrateur a négligé de le masquer.

Cet outil ne peut pas forcer brutalement le tableau de bord d’administration Joomla. Pour exécuter de telles attaques, vous aurez besoin d’une solution puissante qui fonctionne en tandem avec une série de serveurs proxy. C’est en partie parce que de nombreux sites Joomla utilisent le très efficace Arrêt de force brutale brancher. Il bloque l’adresse IP d’un malfaiteur si le nombre de tentatives d’authentification infructueuses atteint un seuil spécifié.

Si votre site utilise HTTP, ce qui est assez rare de nos jours, essayez d’exécuter le Script Nmap d’évaluer sa résistance aux attaques par force brute.

Vérification de Drupal et d’autres sites CMS

Dans le cas de Drupal et d’autres plates-formes CMS moins populaires, les choses sont plus compliquées. Il n’y a pas de scanner efficace pour auditer ces sites pour les imperfections de sécurité. DroopeScan est peut-être le seul outil automatique utile que vous puissiez utiliser, mais avec la mise en garde qu’il ne récupère pas les détails au-delà des informations de base sur le site.

Vous devrez creuser manuellement le site ou effectuer une recherche sur le Web pour obtenir des données détaillées dont vous pourriez avoir besoin. Les bases de données de vulnérabilité comme les détails CVE ou les exploits de preuve de concept sur GitHub peuvent orienter un pentester dans la bonne direction.

Un exemple de ce que vous pouvez rencontrer est la vulnérabilité CVE-2018-7600, qui affecte les versions Drupal 7.x et 8.x et permet à un pirate de provoquer des redirections et même exécuter du code arbitraire à distance. Un exploit pour ce PoC peut être trouvé ici. Si le scanner ne renvoie rien d’autre que la version CMS d’un site cible, cela peut suffire à exploiter la vulnérabilité tant que la version Drupal est dans la plage vulnérable.

Dans l’ensemble, il n’y a pas de différence fondamentale entre la compromission de plates-formes CMS telles que Drupal et la violation de tout autre service Internet. Des failles de sécurité existent ou n’ont pas encore été découvertes.

Comment vérifier les vulnérabilités d’un site Web codé à la main

La recherche de failles de sécurité dans un site Web codé à la main est plus facile à dire qu’à faire. Vous ne pouvez pas trouver un scanner qui dira: “Cette application Web particulière est obsolète, elle a une vulnérabilité connue, et voici un lien vers l’exploit correspondant plus un tutoriel complet sur la façon de l’utiliser.”

En d’autres termes, vous avez une longue liste de faiblesses potentielles à rechercher sur le site. Des audits comme celui-là reposent sur la méthodologie OWASP ou sur des flux de travail uniques.

Sonder un site Web pour trouver des points d’entrée non sécurisés est une activité profondément créative. Vous n’êtes pas limité à l’utilisation d’un cadre clair ou d’outils spécifiques, surtout s’ils sont open-source. Néanmoins, l’audit de sécurité n’est pas une blague. Il n’est pas surprenant que certaines entreprises essaient d’appliquer des directives pour la mise en œuvre de ces contrôles afin qu’un testeur d’intrusion ne manque rien dans un élan d’imagination.

L’un des meilleurs moyens d’y parvenir est d’utiliser le Guide de test de sécurité Web OWASP. Il s’agit d’un aperçu détaillé des règles de détection des vulnérabilités des applications Web. Ses auteurs ont compilé et décrit les méthodes de test des vulnérabilités qui relèvent des dix catégories les plus courantes (OWASP Top 10).

Si vous avez besoin de vérifier la faisabilité de compromettre un site codé à la main, l’utilisation de l’outil WhatWeb mentionné ci-dessus est un bon point de départ. Gardez à l’esprit, cependant, que vous n’inspectez pas un CMS dans ce scénario – à la place, vous recherchez tous les services intégrés et leurs versions.

Des tonnes de versions de framework sont susceptibles d’être exploitées. Par exemple, des éditions obsolètes d’Apache Tomcat ou de Ruby on Rails peuvent être violées à l’aide d’exploits accessibles au public.

La détermination des versions du langage de programmation peut également vous donner des indices importants. Par exemple, de nouvelles vulnérabilités PHP font surface, et elles peuvent rester non corrigées pendant des semaines après leur découverte.

Votre prochaine étape consiste à tirer parti d’un scanner de sécurité. Même s’il ne parsème pas tous les i et ne traverse pas tous les t, cela pourrait vous donner des informations exploitables sur les conditions de sécurité du site Web examiné. Par exemple, un outil appelé DIRB parcourra les répertoires ouverts et analysera les réponses.

Pour rechercher les faiblesses courantes, pensez à utiliser des scanners à taille unique tels que OWASP ZAP, w3af, skipfish et Nikto. Garder le Boîte à outils de sécurité Mantra à portée de main aussi. Pour analyser en profondeur un site Web à la recherche de vulnérabilités d’application Web, vous pouvez utiliser un outil plus sophistiqué appelé Suite Burp.

Bonnes pratiques de protection

Si votre site Web est construit avec un CMS, la tactique de sécurité la plus efficace consiste à s’abstenir d’installer des plugins douteux, à supprimer les plugins que vous n’utilisez pas activement et à maintenir tous les logiciels à jour. Les concepteurs Web doivent s’en tenir à des pratiques de codage sûres telles que le filtrage des caractères spéciaux dans les requêtes de base de données et la vérification approfondie des scripts trouvés en ligne.

Si vous possédez un site Web personnalisé, assurez-vous d’examiner ses composants Web, de vous débarrasser de ceux qui sont redondants et de garder le reste à jour. Assurez-vous également que le site est soutenu par un support technique approprié.

De plus, vous ne pouvez pas vous tromper avec les tests de pénétration effectués par un professionnel tiers. En parlant de cela, de nombreuses grandes entreprises mettent en place des programmes de prime aux bogues et paient des chapeaux blancs pour identifier les liens faibles dans leurs services en ligne. D’un autre côté, ce type d’activité pourrait être une excellente rampe de lancement pour une brillante carrière de pentesting.

La ligne du bas

Si vous souhaitez trouver des vulnérabilités dans les services Web, vous pouvez affiner vos compétences à l’aide du guide OWASP Top 10. De plus, avant de rechercher des failles de sécurité sur de vrais sites Web, pensez à vous essayer à l’inspection d’environnements de test tels que des machines virtuelles criblées de failles connues.

Basé à Amsterdam David Balaban est le fondateur de la Confidentialité-PC.com projet et est un chercheur en sécurité informatique avec plus de 17 ans d’expérience dans l’analyse de logiciels malveillants.

— to www.eweek.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Recommended.

Faille critique non corrigée de Confluence attaquée • The Register

Faille critique non corrigée de Confluence attaquée • The Register

juin 3, 2022
Ph.D. Sciences et technologie astrophysiques.  un étudiant reçoit le prix du DOE pour étudier la matière noire

Ph.D. Sciences et technologie astrophysiques. un étudiant reçoit le prix du DOE pour étudier la matière noire

octobre 4, 2021

Subscribe.

Trending.

Erreur C14a du code d’assistance Snapchat : comment y remédier ?

Erreur C14a du code d’assistance Snapchat : comment y remédier ?

août 21, 2022
10 problèmes courants de l’iPhone 13 et comment les résoudre

10 problèmes courants de l’iPhone 13 et comment les résoudre

décembre 24, 2021
Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

novembre 25, 2021
Avantages et inconvénients des concepteurs et créateurs de jeux vidéo

Avantages et inconvénients des concepteurs et créateurs de jeux vidéo

septembre 17, 2021
Comment réparer le décalage d’Instagram sur iPhone et Android

Comment réparer le décalage d’Instagram sur iPhone et Android

novembre 26, 2021

Catégories de produits

  • Non classé (2)
Technique de pointe

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Follow Us

Catégories

  • Générale
  • HTML5 / CSS3
  • JavaScript
  • JEUX VIDEO
  • Microsoft
  • MOBILES
  • Photography
  • PHP / MySql
  • portrait
  • PROGRAMMATION WEB
  • Python
  • Review
  • Security
  • TECHNOLOGIES

Étiquettes

actualités industrielles actualité économique affaires ailette AMERS ASIE ASXPAC BACT CMPNY Commerce courrier quotidien CYCS CYCS08 des sports Divertissement EMRG Entreprise GEN Google intelligence artificielle ITSE ITSE08 jeu vidéo jeux vidéo Kotaku l'informatique l'Internet La technologie Logiciel Microsoft MTPIX NOM nous nouvelles politique SOFW SWIT TECH08 technologie TMT TOPCMB TOPNWS Types de contenu Éducation économie

Recent News

Essayez une application Web, une technologie largement inconnue mais excellente.

Essayez une application Web, une technologie largement inconnue mais excellente.

mai 30, 2023
“The Witcher 3” est devenu le 9e (ou 3e) jeu le plus vendu de l’histoire

“The Witcher 3” est devenu le 9e (ou 3e) jeu le plus vendu de l’histoire

mai 30, 2023
  • About
  • Advertise
  • Privacy & Policy
  • Contact

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Accueil
  • TECHNOLOGIES
  • PORTRAIT
  • JEUX VIDEO
  • TUTORIELS
  • MOBILES
  • Nous Contacter

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
Sign In with Linked In
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

Nous avons découvert un nouveau système qui génère des revenus 100% passifs... Ignorer