Avr 11, 2012
5 Min
Facile

Ici, je vais vous présenter une liste des logiciels et outils qui sont utilisés par les pentesters. Des outils permettant de détecter la failles d’un serveur, analyser un site web et corriger les vulnérabilités trouvées.


Si vous êtes un passionnée de la sécurité informatique, cette liste va surement vous plaire. Il est préférable d’avoir la distribution Kali Linux installé sur une machine virtuelle.

Sans plus attendre, voici quelques outils nécessaires pour scanner et détecter les vulnérabilités d’une application web :

1. The Mole

The Mole est un outil automatique d’exploitation des injections SQL. C’est en fournissant un lien vulnérable ou bien une adresse valide du site ciblé que l’on pourra tester l’injection et pourquoi pas l’exploiter. Soit en utilisant une technique de type union, soit une technique basée sur les requêtes booléennes.

Cet outil fonctionne sur les bases de donnée de type MySQL, SQL Server, PostgreSQL et Oracle.

2. WPScan


WPScan est un scanner de vulnérabilités spécialement conçu pour WordPress. Écrit en ruby. Il est capable de trouver les vulnérabilités présentes sur un site web WordPress, de lister les plugins utilisés et de vous donner les failles de sécurités associées. Pour en savoir plus, lisez notre article sur WPScan

3. Joomscan Security Scanner


Joomscan Security Scanner est un outil d’audit des sites web pour joomla, il est écrit en perl et il est capable de détecter plus de 550 vulnérabilités comme les inclusions de fichiers, les injections SQL, les failles RFI, LFI, attaques XSS, blind sql injection, protection des répertoires et autres . Pour en savoir plus, je vous invite à lire l’article sur Joomscan

4. Uniscan


Uniscan est un scanner open source de vulnérabilités pour les applications web. Écrit en perl, il a été Pour ses tests, conçu pour détecter les failles RFI, LFI, RCE, XSS et les injections SQL.

Celui-ci identifiera les pages du site via un crawler et vérifiera les extensions de fichiers ignorées, les méthodes GET et POST des pages. Il supporte les requêtes SSL ainsi que l’utilisation de proxy.

Si vous voulez l’utilisez sous Kali Linux,  allez dans  l’onglet :

Applications ->BackTrack ->Vulnerability Assessment ->Web Application assessment -> Web Vulnerability Scanners – >Uniscan

5. W3af (Web Application Attack & Audit Framework)


w3af
(Web Application Attack & Audit Framework) est un projet qui a pour but de créer un framework pour trouver et exploiter les vulnérabilités d’une application web. Vous pouvez l’utilisez sous BackTrack 5.

Applications ->BackTrack ->Vulnerability Assessment ->Web Application assessment -> Web Vulnerability Scanners – >W3af gui

6. havij

Havij est un outil automatisé d’injection SQL qui permet aux testeurs de pénétration de trouver et d’exploiter les vulnérabilités d’injection SQL sur un site web.

La puissance de Havij qui le rend différent des autres outils similaires sont ses méthodes d’injection. Le taux de réussite  d’une injection SQL  est supérieur à 95% . Pour en savoir plus suivi notre article sur l’utilisation de haviji

4 Commentaires