En lisant le document de l'OWASP intitulé OWASP Testing Guide 4.0 (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents), dans la catégorie "Information Gathering" j'ai eu la surprise de découvrir PunkSpider.
Si vous installez le plug-in dans votre browser Firefox ou Chrome, PunkSpider vous permet de savoir en temps-réel si des vulnérabilités sont présentes.
Dans l’exemple ci-dessous on voit en haut à droite une croix rouge (dans le plug-in de Punkspider) qui indique la présence de vulnérabilités. C'est plutôt bien fait!
Par contre si vous utilisez PunkSpider pour tester vos propres sites et que ces sites sont vulnérables alors il y a une forte chance que ces sites se retrouvent dans la “Blacklist” de PunkSpider (cette liste, qui énumère tous les sites vulnérables est téléchargeable sur le site de Punkspider).
Et dans ce cas votre site devient visible pour tous les script-kiddies du monde! A bon entendeur!
Par contre, encore une fois, cet outil peut être utilisé avantageusement pour la sensibilisation à la sécurité des applications web!
Vous expliquez le XSS et hop vous montrez l’existence de failles en "live" sur des sites existants, comme sur le site ci-dessous !
Attention restez dans la légalité! Gaffe aux dérives!
Si vous installez le plug-in dans votre browser Firefox ou Chrome, PunkSpider vous permet de savoir en temps-réel si des vulnérabilités sont présentes.
Dans l’exemple ci-dessous on voit en haut à droite une croix rouge (dans le plug-in de Punkspider) qui indique la présence de vulnérabilités. C'est plutôt bien fait!
Par contre si vous utilisez PunkSpider pour tester vos propres sites et que ces sites sont vulnérables alors il y a une forte chance que ces sites se retrouvent dans la “Blacklist” de PunkSpider (cette liste, qui énumère tous les sites vulnérables est téléchargeable sur le site de Punkspider).
Et dans ce cas votre site devient visible pour tous les script-kiddies du monde! A bon entendeur!
Par contre, encore une fois, cet outil peut être utilisé avantageusement pour la sensibilisation à la sécurité des applications web!
Vous expliquez le XSS et hop vous montrez l’existence de failles en "live" sur des sites existants, comme sur le site ci-dessous !
Attention restez dans la légalité! Gaffe aux dérives!
Aucun commentaire:
Enregistrer un commentaire