Wapiti (test sécurité)

[Horace]

Je lance un poste sur Wapiti, une appli Python pour tester la vulnérabilité des pages web que je viens de découvrir (mais pas tester).

* Inclusion de fichiers en local
* Inclusion de fichiers en distant
* Injection SQL
* Injection de Javascript (XSS)

Présentation sur le blog du developpeur (français)

Site officiel

Par contre, j'ai pas de linux sous la main. Faudrait un serveur public permettant de tester nos sites, sans nécessité installation. Avec détection de la présence d'un fichier signature, comme pour service de scan Google, afin d'éviter l'usage par les hackers.

[X-ZoD]

interessaant
mais jai pas compris tas derniere frase
il faut linstalle rsur le serveur du site en kestion ?

[Antyoz]

Pareil, j'ai pas compris !!

[Horace]

Non, pas obliger d'installer directement sur le site.

Mais l'appli tourne en Python, c'est donc le bordel sous Windows. Installer interpréteur Python, commandes à taper en ligne style MS-DOS... très compliqué si on est pas familier shell/unix.

[X-ZoD]

ha je comrepnd mieu
et donc si on a unserveur on peut le tester cmment ?
ne vous inkieter pas je sais utilier le shell

[orditeck]

Résultat pour le forum de JeuPHP :

Code :

orditeck@ubuntu:/home/orditeck/wapiti-1.1.5$ python wapiti.py http://www.jeuweb.org/board/index.php
Wapiti-1.1.5 (wapiti.sourceforge.net)
.................................................................................................
Attacking urls (GET)...
-----------------------

Attacking forms (POST)...
-------------------------

Looking for permanent XSS
-------------------------

Pas mal ce petit logiciel quand même

[crocro]

Bonjour,

Si vous voulez faire fonctionnez wapiti sur windows, je vais vous donnez une astuce :

1. Dézipper wapiti dans un dossier.
2. Dans le même répertoire, créer n'importe quelle document (texte, image) et renommé le "wapiti.bat".
3. Clique droit sur ce fichier, cliquez sur modifier.
4. Remplissez le comme cela :

C:\python25\python.exe wapiti.py "l'adresse de votre site sans guillemets"
pause

5. Nous allons maintenant installé l'interpréteur python. Rendez-vous sur le site officiel de python. Cherchez Windows Installer dans le menu de gauche, enregistrez le fichier, lancez l'installation, ne changez pas le répertoire par défaut et python est installé !
6. Lancez maintenant wapiti.bat, et attendez la fin du chargement.

*** Étapes facultatives (pour les espaces membres) ***
7. Créer un fichier "cookies.bat" dans le répertoire de wapiti (même manipulation que wapiti.bat. Éditer le et inscrivez-y cela :

C:\python25\python.exe getcookie.py cookies.txt
"l'adresse de votre site + la page où l'on inscrit le pseudo et le pass du membre sous la forme "?page=connexion". Si par exemple la page est "http://monsite.com/connexiondumembre.php", la forme à écrire est "http://monsite.com/?page=connexiondumembre".
pause

8. Lancez-le. Si tout c'est bien passé, vous devriez avoir un fichier cookies.txt qui c'est créer.
9. Modifier maintenant wapiti.bat comme cela :

C:\python25\python.exe wapiti.py http://monsite.com/ -c cookies.txt -x http://monsite.com/espace_membre/?page=deconnexion
(nous obligeons ici le programme à ne pas contrôlé la page de déconnexion, vous comprendrez pourquoi . À noté aussi que la page est encore à rentré sous la forme ?page=deconnexion. )
pause

Voilà j'ai fini, il y a d'autres options pour le programme (comme les cookies et la possibilité d'obliger le programme à ne pas lancé une page) mais je ne les aient pas encore exploité. À vous de demandé si vous en avez vraiment besoin !