L’Université technique de Vienne a conçu un programme capable de repérer automatiquement les failles de sécurité des sites Internet. Le logiciel, dénommé SecuBat Framework, agit comme le ferait un pirate informatique : il attaque les sites Web dynamiques afin d’identifier les forces et faiblesses de leurs systèmes de sécurité. Plus précisément, il les sollicite par des attaques croisées XSS (Cross-Site Scripting) ou par des injections SQL, c’est-à-dire en insérant des scripts JavaScript ou des fragments de code SQL dans leurs formulaires, pour interroger leurs bases de données ou modifier leurs pages.
SecuBat est composé d’un crawler multi-processus (qui parcourt toute l’arborescence d’un site Web pour en lister les pages), de modules d’attaque (qui s’en prennent à celles d’entre elles contenant des formulaires) et d’un module d’analyse (pour la compilation et la visualisation des résultats).
D’après les premiers essais, menés sur près de 20 000 adresses Web, 6,63% des applications Internet sont vulnérables à des injections SQL, 4,30% à des attaques XSS simples et 5,60% à des attaques XSS encodées. Les sites gouvernementaux et les sites de commerce électronique ne sont pas épargnés.
Pour en savoir plus :
- Secure Systems Lab - Vienna Seclab
- Stefan Kals, Engin Kirda, Christopher Kruegel, Nenad Jovanovic (2006). ‘SecuBat: A Web Vulnerability Scanner’, The 15th International World Wide Web Conference (WWW 2006)
Rédaction et première publication dans le cadre du Bulletin Électronique du Service Scientifique de l’Ambassade de France à Vienne et plus précisément dans le cadre du BE Autriche numéro 83 du 12 mai 2006 (http://www.bulletins-electroniques.com/actualites/33601.htm)
Republication après relectures, correction de la ponctuation et des liens, reformulations mineures et suppression des données nominatives et/ou périmées