WebSure Audit
Quel pourcentage de votre chiffre d'affaires passe par votre site Internet ?
Avez-vous estimé le coût d'une interruption totale de service pendant plusieurs heures ? Etes-vous prêt à courir le risque ?
Avez-vous estimé le coût d'une interruption totale de service pendant plusieurs heures ? Etes-vous prêt à courir le risque ?
Prémunissez-vous des risques qui pèsent sur votre site !
WebSure Audit est une analyse semi automatisée réalisée par un expert utilisant les dernières
technologies de scan de sites web. A la fin de l’audit réalisé, un rapport détaillé des failles identifiées est fourni à l’attention des développeurs (en anglais), ainsi qu’une synthèse « accessible » en français à l’attention des dirigeants de l’entreprise.
SQL Injection
En détournant le fonctionnement normal de la requête vers la base de données en y injectant certains caractères ou fonctions, le pirate peut extraire toutes les données confidentielles présentes dans celle-ci.
Selon les droits de l'utilisateur de la base de données, une SQL Injection peut permettre au pirate de créer des "Failles" ou "Portes dérobées" sur le serveur lui permettant à la fois de prendre le contrôle de la machine cible mais aussi de pouvoir lire les informations de tous fichiers système.
Dans certains cas, une telle faille peut conduire à la Corruption/Destruction de la base de données si le pirate la découvre.
Si le site repose sur un moteur de Template, un Injection SQL rendra possible l'effacement complet du site.
Régulièrement ce type de faille se trouve dans le processus d’authentification sur un site, ce qui permet au pirate de réaliser d’usurper une identité et donc d'accéder tant à la partie Utilisateur qu'à la partie Administrateur.
Cross-Site Scripting (XSS)
Le principe d’une faille XSS est de provoquer un comportement du site Web différent que celui initialement prévu. Le principe est d’injecter des données arbitraires via des champs de saisies (formulaire de recherche), mais aussi directement dans les URL.
Le principe d’une faille XSS est de provoquer un comportement du site Web différent que celui initialement prévu. Le principe est d’injecter des données arbitraires via des champs de saisies (formulaire de recherche), mais aussi directement dans les URL.
Si le site ne contrôle pas ces données il sera alors possible pour le pirate d’exécuter du code malveillant à travers le navigateur.
Cette faille permet la redirection vers des sites malveillants, le vol d’informations etc. Cette faille est l’une des plus répandu sur les sites Internet.
Cross-Site Request Forgeries (CSRF)
Cette faille se rapproche fortement de la faille XSS mais pour obtenir un résultat différent. En effet, l'attaque est la même, soit le détournement du fonctionnement du site mais cette fois le but est de forcer le visiteur à réaliser des actions de manière involontaire.
Cette faille se rapproche fortement de la faille XSS mais pour obtenir un résultat différent. En effet, l'attaque est la même, soit le détournement du fonctionnement du site mais cette fois le but est de forcer le visiteur à réaliser des actions de manière involontaire.
Le plus souvent cette faille est utilisée pour réaliser des actions sur un « Back Office » en « dupant » un utilisateur ayant les droits nécessaires. Le visiteur devient donc involontairement complice du pirate.
Include/Remote file inclusion
La faille Include/remote file inclusion consiste à intégrer des fichiers dans une page visible, dans la plupart des cas le pirate cherchera soit à intégrer des fichiers internes du serveur tels que les fichiers contenant les identifiants de connexion à la base de données, soit à injecter du code.
La faille Include/remote file inclusion consiste à intégrer des fichiers dans une page visible, dans la plupart des cas le pirate cherchera soit à intégrer des fichiers internes du serveur tels que les fichiers contenant les identifiants de connexion à la base de données, soit à injecter du code.
Une telle faille peut facilement conduire à l'effacement du site, au vol de données et à la remontée des répertoires sensibles.
Upload
La faille Upload consiste à donner la possibilité aux visiteurs d'uploader des fichiers sur le Serveur Web, le plus souvent via un formulaire mais à ne pas en vérifier le contenu, le format, ou l'extension.
La faille Upload consiste à donner la possibilité aux visiteurs d'uploader des fichiers sur le Serveur Web, le plus souvent via un formulaire mais à ne pas en vérifier le contenu, le format, ou l'extension.
Nous retrouvons donc des cas de forums permettant aux visiteurs d'uploader une image en tant qu'avatar, complètement dévastés car le pirate avait uploadé une image contenant du code arbitraire, ou avait tout simplement uploadé un script...
Une telle faille peut permettre la mise en place de "Failles" ou "Portes dérobées", la récupération de données sensibles, le contrôle du serveur ou encore l'effacement du site.
Directory Listing
Ce n'est pas réellement une faille mais une erreur de configuration du serveur qui permettra au pirate de naviguer directement dans l’arborescence du site et donc de connaitre l’ensemble des fichiers présents sur le site.
Ce n'est pas réellement une faille mais une erreur de configuration du serveur qui permettra au pirate de naviguer directement dans l’arborescence du site et donc de connaitre l’ensemble des fichiers présents sur le site.
Même si ceci n’est pas une faille cela permet au pirate de connaître la structure du site, l’emplacement des fichiers sensibles et donc plus facilement pirater les données.
Bypass .Htaccess
Un fichier .htaccess permet de modifier certains paramètres du serveur Web mais aussi de sécuriser une zone d'un site en nécessitant une authentification HTTP, dans ce cas, le contenu de ce fichier indique de quelle façon est règlementée cette zone et où se trouve le fichier .htpasswd contenant les identifiants de connexion.
Un fichier .htaccess permet de modifier certains paramètres du serveur Web mais aussi de sécuriser une zone d'un site en nécessitant une authentification HTTP, dans ce cas, le contenu de ce fichier indique de quelle façon est règlementée cette zone et où se trouve le fichier .htpasswd contenant les identifiants de connexion.
Dans le cas où le fichier .htaccess n’est pas correctement défini, le pirate pourra alors accéder à la zone sans s'identifier mais aussi afficher les identifiants de connexion si elle est utilisée conjointement à la faille Include ou SQL Injection.
BackDoor
Le principe d'un "BackDoor" ou "Portes dérobées" pour le pirate est de disposer d'une plate-forme à la fois d'attaque mais aussi d'hébergement pour des sites à caractères Pornographique, Pédophile, Warez, etc.
Le principe d'un "BackDoor" ou "Portes dérobées" pour le pirate est de disposer d'une plate-forme à la fois d'attaque mais aussi d'hébergement pour des sites à caractères Pornographique, Pédophile, Warez, etc.
Si vous ne consultez pas régulièrement vos fichiers journaux ou vos espaces d'hébergement vous ne pouvez pas déceler une telle faille.
A ce stade, le pirate a le contrôle du serveur et du site.
Directory Traversal
Le principe de la faille dite Directory Traversal, est de profiter d’une insuffisante sécurisation des données transmises par un visiteur.
Le principe de la faille dite Directory Traversal, est de profiter d’une insuffisante sécurisation des données transmises par un visiteur.
Le plus souvent dans le cas d’un moteur de template, ou d’inclusion de fichiers. Si ces données ne sont pas correctement filtrées, il est possible pour le pirate d’accéder aux fichiers systèmes du serveur qui ne sont pas censé être accessible via le site Web.
Configuration minimum
1 audit est valable pour 1 site Internet (1 URL unique)
Exemple de rapport de synthése en Français