vendredi 9 novembre 2007

Plugin Firefox à venir : ExploitMe

Firefox associé à la traque des failles


Le plugin pour Firefox : ExploitMe sera dévoilé à la conférence SecTor (20 & 21 November2007 au Metro Toronto Convention Centre, Toronto, Canada) par des experts en sécurité.

Ce plugin Open Source est un outil de test d'intrusion du même type que Burp Suite et WebScarab qui émulent un navigateur. Cependant, ExploitMe s'intègre directement à Firefox sous forme d'une extension.

Le but d'ExploitMe est d'identifier les failles de type Cross-Site Scripting (XSS) et d'injection SQL dans les applications Web. Ces faille seront détectés notamment par une technique de tests par Fuzzing. Le test par Fuzzing se répand peu à peu. Il est notamment utilisé pour tester le kernel de la distribution FreeBSD (FreeBSD Kernel Stress Test Suite). Pour connaître d'autres exemples de test, le site Darnket.org propose quelques tutos.

L'outil ExploitMe se composera de Inject-Me qui permettra d'injecter dans les champs textes des morceau de requète SQL, simplement avec un click-droit.

Il pourra être intéressant de tester le plugin ExploitMe sur le Projet WebGoat qui est une Web apllication en J2EE délibérément non sécurisé pour apprendre et comprendre la sécurité en exploitant des vrais vulnérabilités.

Aucun commentaire: