Dans l’évaluation de la vulnérabilité, c’est l’évaluation qui est la plus délicate. Après avoir déterminé quels hôtes sont actifs et quels services ils gèrent (c’est la partie facile), comment déterminer si tel ou tel service est vulnérable ? Pour les services Web, un outil répond bien à cette question :
2. N-Stealth

le NStealth Security Scanner de la firme N-Stalker. N-Stalker vend une version plus complète de N-Stealth, mais la version d’essai gratuite suffit pour des besoins d’évaluation de base. La version payante inclut plus de 30 000 vérifications de sécurité du serveur Web, mais la version gratuite offre plus de 16 000 vérifications de vulnérabilité spécifiques, y compris pour les 20 vulnérabilités principales SANS pour des serveurs Web aussi courants que Microsoft IIS et Apache.
Par exemple, NStealth vérifie la vulnérabilité des scripts CGI (Common Gateway Interface) et PHP (Hypertext Processor), les attaques par injection SQL, le script sur sites hétérogènes et autres points faibles des serveurs Web les plus répandus. N-Stealth supporte à la fois HTTP et HTTP Secure (HTTPS – avec SSL), établit la corrélation de vulnérabilité avec le dictionnaire CVE (Common Vulnerabilities and Exposures) et avec la base de données de vulnérabilités Bugtraq, et offre aussi un très honnête reporting.
J’utilise NStealth pour déceler les vulnérabilités les plus courantes sur les serveurs Web puis déterminer les attaques les plus probables. Vous pouvez obtenir plus d’informations sur NStealth à http://www.nstalker.com/eng/products/nstealth. Bien entendu, si vous songez à une évaluation très poussée de la sécurité de sites Web et d’applications, il vaut mieux se procurer la version payante ou un produit comme WebInspect de SPI Dynamics.
Téléchargez gratuitement cette ressource

Les 7 étapes d’un projet de dématérialisation RH
Dans ce livre blanc, nous vous donnons les clés pour concevoir votre projet de dématérialisation RH. Vous découvrirez chacune des étapes qui vous permettront d’apporter de nouveaux services aux collaborateurs, de vous adapter aux nouvelles pratiques et de renforcer la marque employeur.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Plateforme de protection applicative : le couteau suisse indispensable pour les développeurs et les équipes de sécurité
- Cohésion d’équipe & Collaboration numérique : un duo gagnant ?
- Cyber espionnage – Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive
- SEKOIA : de l’intelligence sur les menaces jusqu’à l’automatisation de la réponse !
- Les managers face à l’impact du télétravail
