Tweet
Avant meme de chercher des failles sur un site web, il faut avant tout savoir a quel site on a faire (cms, wcms, frameworks...)
Pour cela il suffit de regarder le code source, et avec la pratique on sait automatiquement a quel genre de site on a faire
ensuite il n'est pas necessaire dans l'immédiat de scanner le site avec différents logiciels (nikto, acunetix, vega...), il faut tout d'abord analyser le code source et regarder si il y a des liens qui peuvent nous intéresser.
si vous ne trouvez aucun lien intéressant dans le code source, n'hesitez pas a regarder les robots d'indexation, qui parfois peuvent etre une mine d'informations
exemple d'utilisation, sur le site facebook.com pour savoir si il contient des robots d'indexation, il faut renseigner dans la barre d'adresse /robots.txt, ce qui donne
facebook.com/robots.txt
les robots de google (crawler) scrute la moindre page d'un site web, a moins de bien paramétrer les robots d'indexation ( très important )
revenons en a notre analyse du site web, après avoir regardé le code source ou le fichier robots.txt et que vous pensez avoir trouver un lien qui peut etre interressant ou qui peut contenir des infos confidentiels, sachez une chose la plupart du temps l'acces vous sera refusé (Forbidden
) si vous essayez de renseigner directement l'adresse dans la barre d'adresse.
notre ami google est la pour nous aider... car si on renseigne l'adresse directement, on a un acces refusé, mais pas les robots de google...
donc il faut aller sur google et taper:
allinurl:site_web_a_analyser.com/dossier_interressant
et google va nous afficher le contenu de ce dossier, ensuite cherchez les infos utiles...
exemple réel:
j'ai pris un site au hasard... (édit j'ai retirer l'exemple pour eviter que des petits malins utilisent les infos confidentiels )
enjoy
Pour cela il suffit de regarder le code source, et avec la pratique on sait automatiquement a quel genre de site on a faire
ensuite il n'est pas necessaire dans l'immédiat de scanner le site avec différents logiciels (nikto, acunetix, vega...), il faut tout d'abord analyser le code source et regarder si il y a des liens qui peuvent nous intéresser.
si vous ne trouvez aucun lien intéressant dans le code source, n'hesitez pas a regarder les robots d'indexation, qui parfois peuvent etre une mine d'informations
exemple d'utilisation, sur le site facebook.com pour savoir si il contient des robots d'indexation, il faut renseigner dans la barre d'adresse /robots.txt, ce qui donne
facebook.com/robots.txt
les robots de google (crawler) scrute la moindre page d'un site web, a moins de bien paramétrer les robots d'indexation ( très important )
revenons en a notre analyse du site web, après avoir regardé le code source ou le fichier robots.txt et que vous pensez avoir trouver un lien qui peut etre interressant ou qui peut contenir des infos confidentiels, sachez une chose la plupart du temps l'acces vous sera refusé (Forbidden
) si vous essayez de renseigner directement l'adresse dans la barre d'adresse.notre ami google est la pour nous aider... car si on renseigne l'adresse directement, on a un acces refusé, mais pas les robots de google...
donc il faut aller sur google et taper:
allinurl:site_web_a_analyser.com/dossier_interressant
et google va nous afficher le contenu de ce dossier, ensuite cherchez les infos utiles...
exemple réel:
j'ai pris un site au hasard... (édit j'ai retirer l'exemple pour eviter que des petits malins utilisent les infos confidentiels )
enjoy
Commentaire