Vupen WVS, un service en ligne pour attaquer ses propres sites

Le logiciel en ligne de cette société française passe à la moulinette les sites qu’on lui indique pour y identifier toutes les failles.

De notre envoyé spécial à Monaco, Yann Serra

01net.

le 08/10/09 à 18h25

1 réaction

sommaire

Dossier spécial sécurité

Les Assises à l'heure de l'intelligence économique

Verizon Business renforce sa stratégie sécurité

Vupen WVS, un service en ligne pour attaquer ses propres sites

SourceFire virtualise ses boîtiers de détection d'intrusion

Un navigateur virtuel pour limiter les risques du Web

Lune de miel entre SkyRecon et Arkoon

Kaspersky humanise l’administration de ses antivirus

Olféo devient un acteur du proxy

Novell verrouille la gestion des utilisateurs avec un triangle de fonctions

Voir tout le sommaire

Les Assises de la sécurité et des systèmes d'information ont lieu en ce moment à Monaco.

Le jeune éditeur français Vupen Security lancera dans les prochains jours Web Vulnerability Scanner (WVS), un logiciel Saas qui simule toutes les attaques possibles sur un site Web, à l'exception du déni de service.

« Le but de notre logiciel est de dresser la liste des vulnérabilités des sites Web d'une entreprise, mais nous ne voulons pas aller jusqu'à rendre ce site inopérant », explique Isabelle Gorius, directrice commerciale de Vupen Security.

Des attaques exhaustives

La batterie de tests que mène WVS comprend le vol de cookies, l'exécution de scripts intersites, l'injection SQL, la navigation dans le système de fichiers, la révélation des codes sources, l'exécution de codes distants et l'injection de codes PHP, Shell ou autre. « Pour ce dernier type d'attaque, WVS dresse une carte des différentes pages du site et ajoute à la fin de chacune de leur URL une batterie de codes connus pour pénétrer des éventuelles », ajoute Isabelle Gorius. La liste des attaques à mener est mise à jour quotidiennement.

Un crédit de 5 000 requêtes par mois

Disponible à partir de 990 euros hors taxes par an et par site à scanner (ce prix étant dégressif avec l'augmentation du nombre de sites cibles) et limité à 5 000 requêtes par mois sur un site, WVS présente à son utilisateur une interface Web d'administration. Celle-ci sert à définir les types d'attaque à mener et liste les rapports des attaques passées. « Il peut être pertinent de ne pas mener systématiquement toutes les attaques. Soit parce que l'on veut en programmer certaines à des heures données pour s'approcher au plus près d'une situation réelle, soit pour focaliser les 5 000 requêtes possibles sur les seules attaques qui font sens dans la structure du site », conclut Isabelle Gorius.