Un nouveau scanner de vulnérabilités vient d'être publié et celui-ci est porté sur Drupal. C'est le tout premier porté sur ce CMS et il est proposé par Ali Elouafiq sur son blog.

L'équipe de développement a écrit ce scanner pour énumérer la liste des modules utilisés par Drupal et ainsi simuler une White Box qui est une façon d'analyser un programme dont on connait le code source et le fonctionnement. Des outils similaires utilisent la même méthode comme Rats ou Flawfinder. DPScan a donc pour objectif d'aider les pentesters et analystes afin d'accélérer leurs processus de tests de vulnérabilités.

Après avoir téléchargé le script, vous aurez juste à taper sur votre terminal :

python DPScan.py [website url]

En faisant des tests sur le site de MTV, le résultat donne :

python DPScan.py www.mtv.co.uk
node
user_optin
fckeditor
system
gsa
mtv_videobrowse
nice_menus
user
cck
top_tabs
panels
jquery_update

IronWASP est un système open source permettant d'effectuer des tests de sécurité assez poussés pour détecter de possibles failles de sécurité dans une application web.

Ce logiciel a été conçu pour être modelé et personnalisé dans la mesure où les utilisateurs peuvent créer leurs propres scanners/règles de sécurité. Pour les débutants pas de panique, vous n'êtes pas obligé d'être un développeur chevronné en Python/Ruby pour utiliser la totalité de la plateforme car la plupart des outils sont assez simples à utiliser.

Au niveau des bibliothèques, IronWASP en utilise des bonnes et en plus open source :

• FiddleCore
• IronPython
• IronRuby
• Jint
• System.Data.SQLite
• Html Agility Pack
• ICSharpCode.TextEditor
• Json.NET
• Diffplex
• jsbeautifylib
• Diff.cs

Ce qu'il y a de vraiment pas mal avec cette application c'est qu'elle permet la création de plugins développés soit en Python soit en Ruby. Comme vous pouvez le voir, la version de Python et Ruby utilisée dans IronWASP est IronPython et IronRuby qui sont respectivement similaires à CPython et CRuby.

Il y a déjà des plugins sympas comme DOMXSS.py (plugin passif qui vérifie le code Javascript dans une réponse HTTP) et SessionAnalysis.py (plugin passif qui va analyser les sessions pour détecter de possibles vulnérabilités). Vous pouvez les retrouver dans le repos des plugins Ruby et le repos des plugins Python.

Comme documentation vous avez sur le site officiel une présentation de l'application et quelques vidéos en guise de tutoriel.

IronWASP est une application taillée pour Windows et requiert au minimum .NET 2.0

Les partenaires d'iSEC nous ont concocté un bon outil, SSLyze!

Cette application stand-alone écrite en Python va scanner la configuration SSL afin de détecter une mauvaise configuration tout en fournissant à l'utilisateur la possibilité de personnaliser l'application via une interface simple. Cet outil est open source / multi-plateforme va permettre d'identifier les mauvaises configurations comme par exemple une version du protocole périmé sur les serveurs SSL.

Je ne vais pas tarder à rajouter cet outil dans ma grosse liste d'outils pour sécuriser son site web afin de vérifier sa propre configuration.

Et si vous avez du mal à le configurer, c'est que vous n'avez pas lu leur tuto

pauldotcom.com