Sommaire

Passer à l’attaque d’un site web

1. Envoyer des données non attendues

a. Principes et outils

Lors de la conception d’un site web, le programmeur se focalise souvent sur l’aspect fonctionnel du site. Il attend donc un comportement de l’utilisateur et ne teste pas toujours l’ensemble des données qu’il reçoit, considérant qu’elles sont conformes. Mais comme nous l’avons déjà vu, nous pouvons placer entre le navigateur et le serveur des applications capables d’intercepter toutes les données qui s’échangent. Burp Suite possède ces fonctionnalités mais est parfois complexe d’utilisation. Il existe d’autres applications adaptées à ce genre d’attaques comme Zed Attack Proxy (ZAP) qui remplace WebScarab. Vous pouvez le télécharger à l’adresse suivante : https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Là encore c’est une application en Java. Il faut dans un premier temps décompresser l’archive téléchargée, entrer dans le dossier ZAP_2.3.1 puis lancer zap.jar :

tar xvzf ZAP_2.3.1_Linux.tar.gz 
cd ZAP_2,3,1 
java -jar zap.jar

Comme pour Burp Suite, ZAP se place entre le navigateur et le serveur. Il utilise de même les fonctionnalités de proxy. Il écoute sur le port 8080 de l’IP 127.0.0.1, le port est le même que celui de Burp Suite. Si nous souhaitons facilement activer ...