Vupen WVS, un service en ligne pour attaquer ses propres sites

Le jeune éditeur français Vupen Security lancera dans les prochains jours Web Vulnerability Scanner (WVS), un logiciel Saas qui simule toutes les attaques possibles sur un site Web, à l'exception du déni de service.

« Le but de notre logiciel est de dresser la liste des vulnérabilités des sites Web d'une entreprise, mais nous ne voulons pas aller jusqu'à rendre ce site inopérant », explique Isabelle Gorius, directrice commerciale de Vupen Security. 

Des attaques exhaustives

La batterie de tests que mène WVS comprend le vol de cookies, l'exécution de scripts intersites, l'injection SQL, la navigation dans le système de fichiers, la révélation des codes sources, l'exécution de codes distants et l'injection de codes PHP, Shell ou autre. « Pour ce dernier type d'attaque, WVS dresse une carte des différentes pages du site et ajoute à la fin de chacune de leur URL une batterie de codes connus pour pénétrer des éventuelles », ajoute Isabelle Gorius. La liste des attaques à mener est mise à jour quotidiennement. 

Un crédit de 5 000 requêtes par mois

Disponible à partir de 990 euros hors taxes par an et par site à scanner (ce prix étant dégressif avec l'augmentation du nombre de sites cibles) et limité à 5 000 requêtes par mois sur un site, WVS présente à son utilisateur une interface Web d'administration. Celle-ci sert à définir les types d'attaque à mener et liste les rapports des attaques passées. « Il peut être pertinent de ne pas mener systématiquement toutes les attaques. Soit parce que l'on veut en programmer certaines à des heures données pour s'approcher au plus près d'une situation réelle, soit pour focaliser les 5 000 requêtes possibles sur les seules attaques qui font sens dans la structure du site », conclut Isabelle Gorius.

Posté le 12 octobre 2009 par david.hure - source 01Net