En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Vupen WVS, un service en ligne pour attaquer ses propres sites

Le logiciel en ligne de cette société française passe à la moulinette les sites qu’on lui indique pour y identifier toutes les failles.

laisser un avis
Les Assises de la sécurité et des systèmes d'information ont lieu en ce moment à Monaco.
Le jeune éditeur français Vupen Security lancera dans les prochains jours Web Vulnerability Scanner (WVS), un logiciel Saas qui simule toutes les attaques possibles sur un site Web, à l'exception du déni de service.
« Le but de notre logiciel est de dresser la liste des vulnérabilités des sites Web d'une entreprise, mais nous ne voulons pas aller jusqu'à rendre ce site inopérant », explique Isabelle Gorius, directrice commerciale de Vupen Security. 

Des attaques exhaustives

La batterie de tests que mène WVS comprend le vol de cookies, l'exécution de scripts intersites, l'injection SQL, la navigation dans le système de fichiers, la révélation des codes sources, l'exécution de codes distants et l'injection de codes PHP, Shell ou autre. « Pour ce dernier type d'attaque, WVS dresse une carte des différentes pages du site et ajoute à la fin de chacune de leur URL une batterie de codes connus pour pénétrer des éventuelles », ajoute Isabelle Gorius. La liste des attaques à mener est mise à jour quotidiennement. 

Un crédit de 5 000 requêtes par mois

Disponible à partir de 990 euros hors taxes par an et par site à scanner (ce prix étant dégressif avec l'augmentation du nombre de sites cibles) et limité à 5 000 requêtes par mois sur un site, WVS présente à son utilisateur une interface Web d'administration. Celle-ci sert à définir les types d'attaque à mener et liste les rapports des attaques passées. « Il peut être pertinent de ne pas mener systématiquement toutes les attaques. Soit parce que l'on veut en programmer certaines à des heures données pour s'approcher au plus près d'une situation réelle, soit pour focaliser les 5 000 requêtes possibles sur les seules attaques qui font sens dans la structure du site », conclut Isabelle Gorius. 
envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Le futur de la carte à puce se joue sans cartes
2014 : l’année qui aura vu les COMEX se mobiliser pour leur cybersécurité ?
Pourquoi pas un recyclage intelligent des briques technologiques d'Ecomouv
JTech 201 : Spécial Mondial de l’auto 2014 (vidéo)
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Apple Pay, la fin de la fraude aux cartes bancaires ?
Apple et la sécurité : une rentrée 2014 forte en actualité !
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?
Consolidation dans la sécurité : Morpho rachète Dictao
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
L’antivirus : 25 ans déjà