Forum général.cherche-logiciel Outil pour tester la sécurité de serveurs web

Posté par  .
Étiquettes : aucune
1
26
juil.
2010
Bonjour,
je suis en maturité "blissful ignorance" en matière de sécurité sur une panoplie de serveurs web que j'administre.

Je souhaite trouver un outil pour analyser non pas les applications mais seulement, dans un premier temps, les défauts de configuration typique des serveurs web (genre : listing de répertoires visibles, accès administrateur mal protégé, mots de passe par défaut...).

En cherchant rapidement sur le web, je trouve :
- Des outils séparés pour analyser des points précis ou des frameworks d'analyse : je voudrais quelque chose d'assez automatisé pour ma première passe.
- Des outils tout intégrés, souvent très chers : or je cherche des outils plus simples et orientés "problème de configuration", pas orientés "débogage d'applications web"...

Est-ce que quelqu'un a une bonne expérience libre dans ce domaine ?

Pour info, les serveurs concernés hébergent, entre autres, de l'Apache, du Tomcat, du Joomla et des scripts asp et php développés maison.
  • # Pour commencer

    Posté par  (site web personnel) . Évalué à 3.

    - openVAS
    - skipfish

    Par contre garde à l'esprit que la faille vient généralement du software installé et pas du serveur web....
    ( sql-injection / cross-site scripting / include mal foutues ... )

    Fuse : j'en Use et Abuse !

    • [^] # Re: Pour commencer

      Posté par  . Évalué à 1.

      Je suis conscient qu'une bonne partie des vulnérabilités sont dans les applis. Mais je fais une première passe avant de chercher plus loin.
      Ça me permettra de faire des "règles", type de serveur par type de serveur, et j'ai moins de types de serveurs que d'applis différentes ;-)
      • [^] # Re: Pour commencer

        Posté par  (site web personnel) . Évalué à 1.

        A l'époque, parcourir la doc d'apache et plus particulièrement les paramètres liés à la sécurité.

        Nikto pour les applis.

        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.