Python powered pentesting

Magazine
Marque
MISC
Numéro
58
Mois de parution
novembre 2011
Domaines


Résumé
Cet article est un retour d'expérience sur l'audit d'une application web complexe. Son principal intérêt est de mettre en lumière quelques utilisations originales du langage Python. Tous les exemples de code ont été testés avec Python 2.x.

1. Introduction

Le site à tester se présente de la manière suivante : une applet Flash côté client se connecte à un web service implémenté côté serveur sous forme d'une application SAP.

L'audit de sites et de services web a constitué le pain quotidien de l'auditeur en sécurité ces dernières années. Pourtant, il s'agit d'une activité difficilement automatisable, tant la diversité des implémentations met en échec les « scanneurs de vulnérabilités » (gratuits ou commerciaux). La plupart des applications web du monde réel servent plus à découvrir des bogues dans les scanneurs de vulnérabilités que l'inverse.

Dans un contexte où il est quasiment indispensable de créer ou d'adapter de nouveaux outils pour chaque test, le langage Python révèle toute sa puissance.

2. Un mot sur SAP

Je ne vais pas vous parler de SAP : ma connaissance du sujet est trop empirique et parcellaire pour pouvoir en dire quelque chose d'intéressant. D'ailleurs, parler de « SAP », c'est...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Gestion de système de fichiers

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
Mois de parution
septembre 2020
Domaines
Résumé

À l’origine, Python était un langage spécifiquement écrit pour répondre à des problématiques système, dont la gestion du système de fichiers est une part importante. Depuis, il n’a eu de cesse de s’améliorer, y compris dans les toutes dernières versions.

Comment arrêter un ordinateur sans crise de nerfs ?

Magazine
Marque
GNU/Linux Magazine
Numéro
240
Mois de parution
septembre 2020
Domaines
Résumé

Quoi de plus normal qu'un enfant qui joue ? Le problème n'est pas pendant qu'il joue, c'est plutôt au moment de l'arrêt : que l'on ait accordé 1 h ou 2 h, cela se termine toujours par des cris « J'ai à peine fait 2 parties ! Ça fait même pas 10 mn que je joue ! ». La solution : ne plus intervenir directement !

Les 10 modules à connaître !

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
Mois de parution
septembre 2020
Domaines
Résumé

Il est certains modules dont on ne peut se passer une fois qu’on les a découverts, des modules qui changent à jamais notre façon de coder, des modules dont on ne revient pas...

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.