Tweet
L'Universite technique de Vienne a conçu un programme capable de repérer automatiquement les failles de sécurité des sites internet.
Le logiciel, dénommé SecuBat Framework, agit comme le ferait un pirate informatique: il attaque les sites web dynamiques afin d'identifier les forces et faiblesses de leurs systèmes de sécurité. Il les sollicite par des attaques croisées XSS (Cross-Site Scripting Attacks) ou par des injections SQL, c'est-à-dire en insérant des scripts Javascript ou des fragments de code SQL dans leurs formulaires, pour interroger leurs bases de donnees ou modifier leurs pages.
SecuBat est composé d'un crawler multi-processus (qui parcourt toute l'arborescence d'un site web pour en lister les pages), de modules d'attaque (qui s'en prennent à celles d'entre elles contenant des formulaires) et d'un module d'analyse (pour la compilation et la visualisation des résultats).
D'après les premiers essais, menés sur près de 20.000 adresses web, 6,63% des applications Internet sont vulnérables à des injections SQL, 4,30% à des attaques XSS simples et 5,60% à des attaques XSS encodées. Les sites gouvernementaux et les sites de commerce electronique ne sont pas épargnés.
Source: Cette information est un extrait du BE
Le logiciel, dénommé SecuBat Framework, agit comme le ferait un pirate informatique: il attaque les sites web dynamiques afin d'identifier les forces et faiblesses de leurs systèmes de sécurité. Il les sollicite par des attaques croisées XSS (Cross-Site Scripting Attacks) ou par des injections SQL, c'est-à-dire en insérant des scripts Javascript ou des fragments de code SQL dans leurs formulaires, pour interroger leurs bases de donnees ou modifier leurs pages.
SecuBat est composé d'un crawler multi-processus (qui parcourt toute l'arborescence d'un site web pour en lister les pages), de modules d'attaque (qui s'en prennent à celles d'entre elles contenant des formulaires) et d'un module d'analyse (pour la compilation et la visualisation des résultats).
D'après les premiers essais, menés sur près de 20.000 adresses web, 6,63% des applications Internet sont vulnérables à des injections SQL, 4,30% à des attaques XSS simples et 5,60% à des attaques XSS encodées. Les sites gouvernementaux et les sites de commerce electronique ne sont pas épargnés.
Source: Cette information est un extrait du BE