2. N-Stealth

le NStealth Security Scanner de la firme N-Stalker. N-Stalker vend une version plus complète de N-Stealth, mais la version d’essai gratuite suffit pour des besoins d’évaluation de base. La version payante inclut plus de 30 000 vérifications de sécurité du serveur Web, mais la version gratuite offre plus de 16 000 vérifications de vulnérabilité spécifiques, y compris pour les 20 vulnérabilités principales SANS pour des serveurs Web aussi courants que Microsoft IIS et Apache.

Par exemple, NStealth vérifie la vulnérabilité des scripts CGI (Common Gateway Interface) et PHP (Hypertext Processor), les attaques par injection SQL, le script sur sites hétérogènes et autres points faibles des serveurs Web les plus répandus. N-Stealth supporte à la fois HTTP et HTTP Secure (HTTPS – avec SSL), établit la corrélation de vulnérabilité avec le dictionnaire CVE (Common Vulnerabilities and Exposures) et avec la base de données de vulnérabilités Bugtraq, et offre aussi un très honnête reporting.

J’utilise NStealth pour déceler les vulnérabilités les plus courantes sur les serveurs Web puis déterminer les attaques les plus probables. Vous pouvez obtenir plus d’informations sur NStealth à http://www.nstalker.com/eng/products/nstealth. Bien entendu, si vous songez à une évaluation très poussée de la sécurité de sites Web et d’applications, il vaut mieux se procurer la version payante ou un produit comme WebInspect de SPI Dynamics.