logo Homepage
+  NewbieContest
|-+  Divers» Linux» audit local , souci ?
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: audit local , souci ?  (Lu 10777 fois)
hannibal-lecter
Profil challenge

non classé(e).

Néophyte
*
Hors ligne Hors ligne
Messages: 5


Voir le profil
« le: 03 Janvier 2014 à 13:23:27 »

Bonjour,

A tout ceux qui maitrise linux, j'aimerais savoir quel sont les outils performants pour faire du pentesting car, je rencontre un petit souci j'ai un site en locale sur ma machine , j'ai installer un site dessus puis  trouver différente faille entre SQL et XSS , le problème est le suivant aucun logiciel digne de ce nom n'est capable de dénicher une faille sql .

je m’explique :

la faille que j'ai trouver sur mon site locale pour faire un audit avant de le mettre en ligne est une faille sql que j'ai tester en manuelle j'ai donc réussi a descendre toute la base de donnée comme ça  mais, la question qui me trotte dans la tête pourquoi nikto par exemple n'a pas été foutu de trouver la faille que j'ai établie en manuelle.
'
enfin bref j'ai tester différent logiciel de scanner de faille et je constate qu' enfin compte la plupart des softs (scanner d'audit)  ne sont pas aussi performant que les techniques de la vielle école.


donc je poste ce message pour savoir ce que vous avez a me proposer ...
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 181/54681

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #1 le: 03 Janvier 2014 à 13:25:34 »

Euhhh, c'est normal ?
Les softs alakon du genre ne trouvent que les failles très simples, du coup, dès que ça sort un petit peu des clous, c'est mort.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
hannibal-lecter
Profil challenge

non classé(e).

Néophyte
*
Hors ligne Hors ligne
Messages: 5


Voir le profil
« #2 le: 03 Janvier 2014 à 13:31:20 »

Je suis d'accord avec toi  mais pourtant la SOL est une faille basique ?
donc par conclusion nikto aurait du la trouver.
Journalisée
sasuke78200
Profil challenge

Classement : 1305/54681

Néophyte
*
Hors ligne Hors ligne
Messages: 6


Voir le profil
« #3 le: 03 Janvier 2014 à 15:32:57 »

Cela dépends à quoi elle ressemble, plus elle est complexe plus elle est difficile à dénicher pour les outils.
Journalisée
tarzanlefumeur

Profil challenge

Classement : 74/54681

Membre Complet
***
Hors ligne Hors ligne
Messages: 110


Voir le profil
« #4 le: 04 Janvier 2014 à 13:32:10 »

Je pense plutôt que ce genre d'outils comme nikto se base sur les versions ou signatures des différents modules, CMS, plugins etc que peuvent avoir les sites web afin de trouver des failles qui ont déjà été référencées.
Si c'est un code que tu as pondu toi-même il ne va jamais trouver, même si c'est la plus simple des failles.

Citation
Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6700 potentially dangerous files/CGIs, checks for outdated versions of over 1250 servers, and version specific problems on over 270 servers. It also checks for server configuration items such as the presence of multiple index files, HTTP server options, and will attempt to identify installed web servers and software. Scan items and plugins are frequently updated and can be automatically updated.
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 181/54681

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #5 le: 13 Janvier 2014 à 11:30:38 »

Il fait pas d'heuristique nikto ?

Citation
Si c'est un code que tu as pondu toi-même il ne va jamais trouver, même si c'est la plus simple des failles.

Gné ? Pas compris

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
manry
Profil challenge

Classement : 13042/54681

Néophyte
*
Hors ligne Hors ligne
Messages: 4


Voir le profil
« #6 le: 14 Janvier 2014 à 10:01:37 »

Salut écoute si je comprend bien ton problème tu veux faire un audit chez toi, tu devrait rechercher du coté des outils spécialisé, du coté pentest sur kali tu va trouver j'en suis sur: c'est un framework et il est de base (je te laisse chercher sur notre ami commun google tu a tous les indices pour trouver) qui et gratuit et très performant mais il faut savoir le maitriser ...
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 181/54681

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #7 le: 14 Janvier 2014 à 11:38:19 »

kali tu va trouver j'en suis sur: c'est un framework

Kali ? Framework ? Mais mais mais ! Non ! C'est un OS !
Le framework c'est Metasploit, qui lui, est un des tool compris dans Kali.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
manry
Profil challenge

Classement : 13042/54681

Néophyte
*
Hors ligne Hors ligne
Messages: 4


Voir le profil
« #8 le: 14 Janvier 2014 à 14:25:23 »

bah oui je sais mais il fallait le laisser chercher un peu rohhhhh ^^

je disais bien "sur kali ..."
Journalisée
Pxmme

Profil challenge

non classé(e).

Néophyte
*
Hors ligne Hors ligne
Messages: 1

Skid


Voir le profil WWW
« #9 le: 26 Juin 2019 à 16:07:14 »

Salut,

Pourquoi ne pas utiliser un outil spécialement conçu pour dénicher des injections SQL plus ou moins complexes ?

Je te conseille SQLmap pour commencer

http://sqlmap.org/

Ciao ~
Journalisée

_________________

Don't be a skid, I wanna be the only one
Pages: [1]
  Imprimer  
 
Aller à: