Annonce

Réduire
Aucune annonce.

Technique de base pour analyser un site web

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Technique de base pour analyser un site web

    Avant meme de chercher des failles sur un site web, il faut avant tout savoir a quel site on a faire (cms, wcms, frameworks...)

    Pour cela il suffit de regarder le code source, et avec la pratique on sait automatiquement a quel genre de site on a faire

    ensuite il n'est pas necessaire dans l'immédiat de scanner le site avec différents logiciels (nikto, acunetix, vega...), il faut tout d'abord analyser le code source et regarder si il y a des liens qui peuvent nous intéresser.

    si vous ne trouvez aucun lien intéressant dans le code source, n'hesitez pas a regarder les robots d'indexation, qui parfois peuvent etre une mine d'informations

    exemple d'utilisation, sur le site facebook.com pour savoir si il contient des robots d'indexation, il faut renseigner dans la barre d'adresse /robots.txt, ce qui donne

    facebook.com/robots.txt

    les robots de google (crawler) scrute la moindre page d'un site web, a moins de bien paramétrer les robots d'indexation ( très important )

    revenons en a notre analyse du site web, après avoir regardé le code source ou le fichier robots.txt et que vous pensez avoir trouver un lien qui peut etre interressant ou qui peut contenir des infos confidentiels, sachez une chose la plupart du temps l'acces vous sera refusé (Forbidden ) si vous essayez de renseigner directement l'adresse dans la barre d'adresse.

    notre ami google est la pour nous aider... car si on renseigne l'adresse directement, on a un acces refusé, mais pas les robots de google...

    donc il faut aller sur google et taper:

    allinurl:site_web_a_analyser.com/dossier_interressant

    et google va nous afficher le contenu de ce dossier, ensuite cherchez les infos utiles...

    exemple réel:

    j'ai pris un site au hasard... (édit j'ai retirer l'exemple pour eviter que des petits malins utilisent les infos confidentiels )


    enjoy
    Dernière modification par pl3x, 24 juin 2014, 03h42.

  • #2
    Bonsoir,

    @Plex Tu devrais immédiatement retirer cet exemple.
    Tu donne l'accès sur un forum de hack à une base d'utilisateurs, contenant des informations personnelles.

    A ce dernier propos, tu enfreint la charte de Hackademics:

    Poster des coordonnées bancaires ou autre donnée personnelle ;
    Je te recommande donc VIVEMENT de supprimer ton exemple.

    Cordialement,

    L'OMBRE
    Dernière modification par L'OMBRE, 23 juin 2014, 18h08.
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

    Commentaire


    • #3
      Re: Technique de base pour analyser un site web

      Topic interessant merci !
      Tu aurais du juste mettre un exemple fictif (simplement changer l'url du site et pas la situation, et tu dis que c'est basé sur des experiences personnelles, ça nous suffit )
      Mon blog : http://rootsheep.info

      Commentaire


      • #4
        Merci pour le partage.

        Commentaire


        • #5
          Bonsoir,

          Je rebondis sur ce sujet:

          DHL (le transporteur) à été averti par la CNIL notamment au sujet de ce que nous a expliqué Plex.
          Ils ont JUSTE laissé 284 000 fiches clients à disposition sur internet.
          Ces fichiers contenaient les @ des clients et les modalités d'accès (comprenez Code d'immeuble, clé sous le paillasson, etc).
          Ces données ne sont plus publiques à l'heure où j'écris ces lignes.

          Cordialement,

          L'OMBRE
          Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

          Commentaire


          • #6
            @l'ombre j'ai bien respecté la charte, je ne poste pas de liste utilisateurs, mais j'explique comment faire pour récupérer des infos utiles sur un site, simplement en regardant le code source et en utilisant google.

            est ce que c'est illégale d'utiliser google ? Je ne pense pas, les données sont accessibles au public...

            jai retiré le lien du site pour eviter que des personnes mal intentionnés, utilise ces informations a des fins malveillantes, vue que le forum est en acces libre.

            ps: quand vous renseignez un lien avec un dossier intéressant et que vous avez un beau forbidden, n'hésitez pas a l'ouvrir en cache avec google, et la comme par magie on voit le contenu du repertoire protégé...

            ceci n'est qu'une introduction avant de réellement analyser un site

            Commentaire


            • #7
              Il n'y a pas de mal pl3x ton tutoriel est vraiment bien et j'espère qu'il y en aura tout plein d'autres. Cependant L'OMBRE a raison dans ton envie de nous montrer la validité de ton exemple tu pourrais avoir donner des informations à des plaisantins malveillants.Beaucoup de blackhats sillonnent les sites de white ou forum de serveurs,cms,... à la recherche d'informations afin ensuite de les exploiter pour du carding ou divers.
              Je pense que tu comprends le point de vue et que tu continuera comme L'OMBre à nous partager ton savoir. En pluscela m'interresse beaucoup d'en apprendre plus

              Et effectivement beaucoup oublis Google et ses applications lors d'une reconnaissance passive au détriment d'une batterie de soft qui défois n'apporte pas plus d'informations.Google est quand même le premier crawler a passer partout et garder des infos en cache

              Commentaire

              Chargement...
              X