Brian Curtis
0 
2292
89
À mesure qu'Internet évolue et que les systèmes sur lesquels il fonctionne deviennent plus difficiles à pirater, on pourrait penser que les sites Web seraient moins piratés! En fait, le contraire est vrai, le problème numéro un ne résidant pas dans le logiciel, mais dans la complaisance humaine..
Une fois qu'un hack éventuel est découvert, il peut se propager comme une traînée de poudre à travers les communautés de hackers. Garder votre site à jour et corriger les failles de sécurité latentes constitue donc la meilleure défense..
Cela dit, comment savoir si votre site est vulnérable? C'est là qu'intervient le service gratuit HackerTarget.com.
Limitations et confusions d'inscription:
Les comptes gratuits vous permettent d'effectuer jusqu'à 4 analyses par jour, la seule autre clause étant que vous ne pouvez pas utiliser certaines analyses avec une adresse e-mail gratuite telle que Hotmail, Yahoo ou Gmail. Le scan de WordPress est accessible à tout le monde.
Deuxièmement, vous n'avez pas besoin de vous inscrire. Il vous suffit de lancer une analyse de sécurité (décrite plus loin) pour recevoir un courrier électronique automatisé. Lors de votre première utilisation du service, cet email contiendra un lien pour confirmer votre adresse email. Après avoir cliqué sur ce lien, vous devrez alors lancer une nouvelle analyse. C'est un peu déroutant mais nous sommes tous des adultes, alors je suis sûr que nous allons nous en remettre.
Quel type d'analyses pouvez-vous effectuer:
Ce service étonnant propose en réalité une suite complète d'analyses de sécurité:
- WordPress / Drupal / Joomla
- Profil de domaine
- WhatWeb Scan
- BlindElephant Empreinte digitale
- Nikto Server Scan
- Test d'injection SQL
- Analyse de vulnérabilité OpenVAS
- Scanner de port Nmap
Nous n’avons pas assez d’espace pour traiter tout le scan. J’examinerai donc aujourd’hui le scan de sécurité WordPress, le test d’injection OpenVas et SQL.
Analyse de sécurité WordPress:
Une fois votre analyse WordPress automatisée terminée, vous obtenez un rapport bien présenté. Regardons ce qu'il vous dit:
Informations sur le site
Cela affiche les versions de serveur de base ainsi que votre version de WordPress si elle peut la trouver. Cela vous indiquera également si votre WordPress est obsolète. Ceci est important, car les failles de sécurité se retrouvent dans les anciennes versions et que l'exécution d'analyses automatisées telles que celles-ci est si facile que vous pouvez rapidement vous retrouver la cible d'un piratage..
Liens de site et scripts
Cela affiche un rapport sur les liens externes trouvés sur votre site ainsi que sur les logiciels malveillants éventuellement injectés dans votre page (ou intégrés dans votre thème!). Assurez-vous de vérifier la liste et de rechercher tout ce que vous ne reconnaissez pas immédiatement..
Informations d'hébergement
La dernière section contient des informations de base sur votre hôte ainsi que sur d'autres sites Web partageant la même adresse IP que la vôtre..
Test d'injection SQL:
La quasi-totalité des piratages récents de Sony Pictures Online piratés à l'aide d'une vulnérabilité «primitive et commune», des données non cryptées [Actualité] Sony Pictures Online piratées à l'aide d'une vulnérabilité «primitive et commune», des données non cryptées [Actualité] Jeudi soir, le groupe de pirates informatiques "LulzSec" a annoncé via Twitter, ils ont pu accéder à SonyPictures.com et avoir volé plus d'un million de comptes, mots de passe et informations utilisateur sensibles. Peu de temps après l'annonce de la nouvelle, des copies du… groupe de sécurité Lulzsec dont vous avez entendu parler dans les nouvelles ont été exécutées à l'aide d'une attaque par injection SQL. En gros, cela signifie que les commandes SQL peuvent être exécutées directement sur le serveur en ajustant les paramètres d'URL ou en les entrant dans une zone de recherche. Cela fonctionne parce que beaucoup de systèmes ne vérifient pas ce qui leur est donné, ils vont simplement le lire directement. XKCD l'explique mieux!
Avec un peu de chance, le rapport de courrier électronique que vous obtenez à partir d'un test d'injection SQL sera bref et agréable, indiquant qu'il n'a détecté aucune vulnérabilité. Au fil des ans, WordPress a été jugé vulnérable, mais ceux-ci sont généralement corrigés dès qu'ils ont été trouvés - la leçon est donc, comme toujours - TOUJOURS ÊTRE MIS À JOUR.
OpenVAS IP Scanner:
Celui-ci pourrait être plus intéressant de fonctionner sur votre adresse IP personnelle (que vous pouvez trouver sur whatismyipaddress.com), car il s'agit essentiellement d'un scanner de port. Il listera tous les ports ouverts sur le monde, qui ne sont alors qu'un autre chemin d'accès pour un pirate informatique pour atteindre votre PC. Une fois que les pirates informatiques savent quels ports sont ouverts et à quoi ils servent, ils peuvent commencer à tester chacun d’entre eux pour trouver des vulnérabilités. Exécutez sur votre IP à la maison, vous pouvez même trouver des processus malveillants qui envoient secrètement des spams.
J'espère que vous pourrez essayer certaines de ces analyses gratuites incroyables, en particulier si vous gérez un blog et que vous êtes relativement dépourvu de connaissances en matière de sécurité. Je vous dirais de poster à nouveau ici si vous obtenez des résultats alarmants, mais cela pourrait faire de vous une cible - il est donc préférable de poster anonymement et de laisser de côté votre adresse Web! Connaissez-vous des outils similaires en ligne (et fiables) conviviaux et gratuits pour effectuer ces analyses? Partager cette connaissance!
Crédit d'image: ShutterStock