Reperer automatiquement les failles de securite
http://www.bulletins-electroniques.com/actualites/33601.htm
L'Universite technique de Vienne a concu un programme capable de reperer
automatiquement les failles de securite des sites internet.
Le logiciel, denomme SecuBat Framework, agit comme le ferait un pirate
informatique : il attaque les sites web dynamiques afin d'identifier les
forces et faiblesses de leurs systemes de securite. Il les sollicite par des
attaques croisees XSS (Cross-Site Scripting Attacks) ou par des injections
SQL, c'est-a-dire en inserant des scripts Javascript ou des fragments de
code SQL dans leurs formulaires, pour interroger leurs bases de donnees ou
modifier leurs pages.
SecuBat est compose d'un crawler multi-processus (qui parcourt toute
l'arborescence d'un site web pour en lister les pages), de modules d'attaque
(qui s'en prennent a celles d'entre elles contenant des formulaires) et d'un
module d'analyse (pour la compilation et la visualisation des resultats).
D'apres les premiers essais, menes sur pres de 20.000 adresses web, 6,63%
des applications internet sont vulnerables a des injections SQL, 4,30% a des
attaques XSS simples et 5,60% a des attaques XSS encodees. Les sites
gouvernementaux et les sites de commerce electronique ne sont pas epargnes.
Pour en savoir plus, contacts :
- 'SecuBat: A Web Vulnerability Scanner'. Stefan Kals, Engin Kirda,
Christopher Kruegel & Nenad Jovanovic ; International World Wide Web
Conference, Edinbourgh
- Engin Kirda, Secure Systems Lab / Institut fur Informationssysteme,
Technische Universitat Wien, Argentinierstraße 8/1841, A-1040 Wien - tel :
+43 1 58801 1841, fax : +43 1 58801 18492 - ek@infosys.tuwien.ac.at -
http://www.infosys.tuwien.ac.at et http://www.infosys.tuwien.ac.at/staff/ek/
Sources : - APA, 17/03/2006
- http://www.secubat.org
Cette information est un extrait du BE Autriche numero 83 du 12/05/2006
redige par l'Ambassade de France en Autriche. Les Bulletins Electroniques
(BE) sont un service ADIT et sont accessibles gratuitement sur
http://www.bulletins-electroniques.com
Un détail du QuickStart m'intrigue:
SecuBat v0.5.0.0
================
Software Requirements:
----------------------
- Windows 2000, XP, 2003...
- .NET Framework 2.0
- MS SQL Server 2000, 2005, Express, MSDE
Bien sûr, c'est pas libre... (pas de sources)
# pas intéressant
Posté par Ludovic Gasc . Évalué à 4.
[^] # Re: pas intéressant
Posté par M . Évalué à 7.
[^] # Re: pas intéressant
Posté par Louis Nyffenegger . Évalué à 2.
# Nessus
Posté par Grumbl . Évalué à 6.
[^] # Re: Nessus
Posté par GnunuX (site web personnel) . Évalué à 2.
[^] # Re: Nessus
Posté par Anonyme . Évalué à 3.
# spam
Posté par Anonyme . Évalué à 2.
Et on te paie, pour venir faire de la pub ici ?
# Un coup dans l'eau
Posté par Patrick Trauquesègues . Évalué à 1.
Si je reprend ce journal rédigé à coup de copié/collé dans la précipitation, vous aurez remarqué qu'il se compose de 3 parties: la copie d'une information diffusée par l'ADIT, et la copie de la liste des logiciels requis introduite par une formulation personnelle qui aurait du vous aiguiller sur mes intentions.
Le texte de l'ADIT (que je tiens pour neutre), contient des généralités sur la sécurité informatique des serveurs, le fonctionnement du logiciel, et des chiffres qui attestent de l'utilité de ce logiciel.
La liste des logiciels requis ne comprend que des logiciels Microsoft. Ce qui m'intrigue, puisque l'annonce n'en faisait pas mention.
Le logiciel ne correspond pas à la description faite par l'ADIT. On est habitué à voir le libre oublié, mais là, il s'agit d'un contexte particulier parce que les bulletins ne s'adressent pas au consommateur lambda, et que ce sont des services sérieux avec une information qui devrait être fiable. C'est d'autant plus surprenant que ce ne soit pas mentionné, que les logiciels requis représente une part négligeable des serveurs (5%?), et que les chiffres fournis semblent tenir compte des 95%. Serait-ce un logiciel propriétaire, qui requiert les serveurs Microsoft pour corriger des failles sur Apache? Le texte va plus loin puisqu'il sous-entend que "Les sites gouvernementaux et les sites de commerce electronique" en sont équipés... Je pense que le rédacteur n'était pas spécialiste des réseaux et a fait la synthèse sur la base d'informations qui écartent les logiciels libres, ce qui est un sujet habituel de discussion de ce journal, mais pas assez grave pour en faire tout une affaire.
Mes remarques n'ont à aucun moment vanté les mérites d'un logiciel.
Enfin, certains auront compris que je ne connaissais pas d'équivalent libre... et ne savais pas que Nessus servait à ça.
Quels étaient les buts recherchés en publiant ce journal?
Il vous informe de l'existence des services de l'ADIT. Au lieu de casser du sucre, vous auriez pu vous intéresser aux contenus diffusés.
Il vous informe d'un article probablement maladroit de l'ADIT qui ignore complètement l'existence du logiciel libre, et semble réduire "les failles de securite des sites internet", les "injections SQL", les "attaques XSS", et "les sites gouvernementaux et les sites de commerce electronique", au seul domaine de compétence des logiciels requis, à savoir ceux de Microsoft, que l'on savait peu fiables et très diffusés, mais pas au point d'avoir le monopole des serveurs d'application internet, et des failles associées.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.