Adrien - Mardi 30 Mai 2006

Repérer automatiquement les failles de sécurité des sites Internet

L'Université technique de Vienne a conçu un programme capable de repérer automatiquement les failles de sécurité des sites internet.

Le logiciel, dénommé SecuBat Framework, agit comme le ferait un pirate informatique: il attaque les sites web dynamiques afin d'identifier les forces et faiblesses de leurs systèmes de sécurité. Il les sollicite par des attaques croisées XSS (Cross-Site Scripting Attacks) ou par des injections SQL, c'est-à-dire en insérant des scripts Javascript ou des fragments de code SQL dans leurs formulaires, pour interroger leurs bases de données ou modifier leurs pages.

SecuBat est composé d'un crawler multi-processus (qui parcourt toute l'arborescence d'un site web pour en lister les pages), de modules d'attaque (qui s'en prennent à celles d'entre elles contenant des formulaires) et d'un module d'analyse (pour la compilation et la visualisation des résultats).

D'après les premiers essais, menés sur près de 20.000 adresses web, 6,63% des applications Internet sont vulnérables à des injections SQL, 4,30% à des attaques XSS simples et 5,60% à des attaques XSS encodées. Les sites gouvernementaux et les sites de commerce électronique ne sont pas épargnés.

Ce site fait l'objet d'une déclaration à la CNIL
sous le numéro de dossier 1037632
Informations légales