IronWASP est un système open source permettant d'effectuer des tests de sécurité assez poussés pour détecter de possibles failles de sécurité dans une application web.
Ce logiciel a été conçu pour être modelé et personnalisé dans la mesure où les utilisateurs peuvent créer leurs propres scanners/règles de sécurité. Pour les débutants pas de panique, vous n'êtes pas obligé d'être un développeur chevronné en Python/Ruby pour utiliser la totalité de la plateforme car la plupart des outils sont assez simples à utiliser.
Au niveau des bibliothèques, IronWASP en utilise des bonnes et en plus open source :
- FiddleCore
- IronPython
- IronRuby
- Jint
- System.Data.SQLite
- Html Agility Pack
- ICSharpCode.TextEditor
- Json.NET
- Diffplex
- jsbeautifylib
- Diff.cs
Ce qu'il y a de vraiment pas mal avec cette application c'est qu'elle permet la création de plugins développés soit en Python soit en Ruby. Comme vous pouvez le voir, la version de Python et Ruby utilisée dans IronWASP est IronPython et IronRuby qui sont respectivement similaires à CPython et CRuby.
Il y a déjà des plugins sympas comme DOMXSS.py (plugin passif qui vérifie le code Javascript dans une réponse HTTP) et SessionAnalysis.py (plugin passif qui va analyser les sessions pour détecter de possibles vulnérabilités). Vous pouvez les retrouver dans le repos des plugins Ruby et le repos des plugins Python.
Comme documentation vous avez sur le site officiel une présentation de l'application et quelques vidéos en guise de tutoriel.
IronWASP est une application taillée pour Windows et requiert au minimum .NET 2.0
MISES A JOUR DE L'ARTICLE |