Cet article est un retour d'expérience sur l'audit d'une application web complexe. Son principal intérêt est de mettre en lumière quelques utilisations originales du langage Python. Tous les exemples de code ont été testés avec Python 2.x.
1. Introduction
Le site à tester se présente de la manière suivante : une applet Flash côté client se connecte à un web service implémenté côté serveur sous forme d'une application SAP.
L'audit de sites et de services web a constitué le pain quotidien de l'auditeur en sécurité ces dernières années. Pourtant, il s'agit d'une activité difficilement automatisable, tant la diversité des implémentations met en échec les « scanneurs de vulnérabilités » (gratuits ou commerciaux). La plupart des applications web du monde réel servent plus à découvrir des bogues dans les scanneurs de vulnérabilités que l'inverse.
Dans un contexte où il est quasiment indispensable de créer ou d'adapter de nouveaux outils pour chaque test, le langage Python révèle toute sa puissance.
2. Un mot sur SAP
Je ne vais pas vous parler de SAP : ma connaissance du sujet est trop empirique et parcellaire pour pouvoir en dire quelque…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première