+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Wapiti (test sécurité) (/showthread.php?tid=688)
Wapiti (test sécurité) - Horace - 23-01-2007
![[Image: wapiti2.gif]](http://wapiti.sourceforge.net/wapiti2.gif)
Je lance un poste sur Wapiti, une appli Python pour tester la vulnérabilité des pages web que je viens de découvrir (mais pas tester).
* Inclusion de fichiers en local
* Inclusion de fichiers en distant
* Injection SQL
* Injection de Javascript (XSS)
Présentation sur le blog du developpeur (français)
Site officiel
Par contre, j'ai pas de linux sous la main. Faudrait un serveur public permettant de tester nos sites, sans nécessité installation. Avec détection de la présence d'un fichier signature, comme pour service de scan Google, afin d'éviter l'usage par les hackers.
RE: Wapiti (test sécurité) - X-ZoD - 23-01-2007
interessaant
mais jai pas compris tas derniere frase
il faut linstalle rsur le serveur du site en kestion ?
RE: Wapiti (test sécurité) - Antyoz - 23-01-2007
Pareil, j'ai pas compris !!
RE: Wapiti (test sécurité) - Horace - 24-01-2007
Non, pas obliger d'installer directement sur le site.
Mais l'appli tourne en Python, c'est donc le bordel sous Windows. Installer interpréteur Python, commandes à taper en ligne style MS-DOS... très compliqué si on est pas familier shell/unix.
RE: Wapiti (test sécurité) - X-ZoD - 24-01-2007
ha je comrepnd mieu
et donc si on a unserveur on peut le tester cmment ?
ne vous inkieter pas je sais utilier le shell
RE: Wapiti (test sécurité) - orditeck - 24-01-2007
Résultat pour le forum de JeuPHP :
Code :
orditeck@ubuntu:/home/orditeck/wapiti-1.1.5$ python wapiti.py http://www.jeuweb.org/board/index.php
Wapiti-1.1.5 (wapiti.sourceforge.net)
.................................................................................................
Attacking urls (GET)...
-----------------------
Attacking forms (POST)...
-------------------------
Looking for permanent XSS
-------------------------Pas mal ce petit logiciel quand même
RE: Wapiti (test sécurité) - crocro - 05-04-2007
Bonjour,
Si vous voulez faire fonctionnez wapiti sur windows, je vais vous donnez une astuce :
1. Dézipper wapiti dans un dossier.
2. Dans le même répertoire, créer n'importe quelle document (texte, image) et renommé le "wapiti.bat".
3. Clique droit sur ce fichier, cliquez sur modifier.
4. Remplissez le comme cela :
Citation :C:\python25\python.exe wapiti.py "l'adresse de votre site sans guillemets"5. Nous allons maintenant installé l'interpréteur python. Rendez-vous sur le site officiel de python. Cherchez Windows Installer dans le menu de gauche, enregistrez le fichier, lancez l'installation, ne changez pas le répertoire par défaut et python est installé !
pause
6. Lancez maintenant wapiti.bat, et attendez la fin du chargement.
*** Étapes facultatives (pour les espaces membres) ***
7. Créer un fichier "cookies.bat" dans le répertoire de wapiti (même manipulation que wapiti.bat. Éditer le et inscrivez-y cela :
Citation :C:\python25\python.exe getcookie.py cookies.txt8. Lancez-le. Si tout c'est bien passé, vous devriez avoir un fichier cookies.txt qui c'est créer.
"l'adresse de votre site + la page où l'on inscrit le pseudo et le pass du membre sous la forme "?page=connexion". Si par exemple la page est "http://monsite.com/connexiondumembre.php", la forme à écrire est "http://monsite.com/?page=connexiondumembre".
pause
9. Modifier maintenant wapiti.bat comme cela :
Citation :C:\python25\python.exe wapiti.py http://monsite.com/ -c cookies.txt -x http://monsite.com/espace_membre/?page=deconnexion
(nous obligeons ici le programme à ne pas contrôlé la page de déconnexion, vous comprendrez pourquoi
pause
Voilà j'ai fini, il y a d'autres options pour le programme (comme les cookies et la possibilité d'obliger le programme à ne pas lancé une page) mais je ne les aient pas encore exploité. À vous de demandé si vous en avez vraiment besoin !