Tweet
Whys - White Hack YourSelf, application web de pentest/scan
Depuis maintenant plusieurs mois, je récupère des url de sites qui me sont envoyés par un de mes web crawlers afin de les scanner et d'avertir les possesseurs de sites faillibles (il y en a beaucoup, et vous en connaissez forcément au moins un(e)), mais je me suis rendu compte que ce système était ingrat car très peut me répondent, et ceux qui ne me répondent pas ignorent un mail de plus de 60 lignes expliquant comment régler toutes leurs failles de sécurité, que je me suis bien fait ... à écrire, et ça m'a donc vite gavé.
J'ai donc décidé de créer une application où les propriétaires de sites qui le souhaitent peuvent venir scanner leur site afin d'en sortir des rapport affichant le nombre de failles détectées sur leur site. Une fois que l'utilisateur a confirmé qu'il était bien le propriétaire du site, celui-ci aura accès à la version plus détaillée du rapport, expliquant les failles avec divers tutoriels pour les fixer.
Objectifs
Pour le projet, je souhaite apprendre et faire apprendre en faisant, mais ce projet aspire à devenir la base d'une entreprise dans laquelle je souhaite me lancer une fois mes études terminées (d'ici 4 à 5 ans). Il est évolutif en tout point (le développement d'un modèle économique est totalement faisable) et l'objectif de l'entreprise sera de vendre des prestations en sécurité pour les petites sociétés ou les bloggers(euses) avec des tarifs intéressants par rapport à d'autres sociétés facturant des prestations exorbitantes pour fixer une petite faille FPD (Full Path Disclosure).
Technologies
Whys utilisera des outils open source dans un premier temps avant de commencer à développer nos propres outils, l'application utilise Vaadin Framework avec une base de données Neo4J, toute action sur le site, même un simple changement de vue, est inscrite dans des fichiers de logs, afin que chaque mouvement soit inscrit quelque part, non pas pour des raisons statistiques ou autre data mining, mais pour des raisons légales (pouvoir dire qui a scanné qui quand et depuis quelle ip).
J'ai posté cette présentation sur OpenClassroom afin de trouver des développeurs et des rédacteurs, je ne recherche rien en particulier ici si ce n'est éventuellement un autre white hat pour développer les outils de scan.
Ce projet sera, à long terme, une entreprise à part entière, dans laquelle je compte lancer une grosse activité autour de la sécurité grand public. Avec tout ce qui se passe en ce moment, beaucoup se posent des questions sur la réelle sécurité de leur site, et quand on voit que presque 30% des sites wordpress sont encore en 3.4 alors qu'on a dépassé la 4.0, ils ne s'en rendent pas compte car ce n'est pas dans leur domaine de compétences.
J'ai donc décidé de créer une application où les propriétaires de sites qui le souhaitent peuvent venir scanner leur site afin d'en sortir des rapport affichant le nombre de failles détectées sur leur site. Une fois que l'utilisateur a confirmé qu'il était bien le propriétaire du site, celui-ci aura accès à la version plus détaillée du rapport, expliquant les failles avec divers tutoriels pour les fixer.
Objectifs
Pour le projet, je souhaite apprendre et faire apprendre en faisant, mais ce projet aspire à devenir la base d'une entreprise dans laquelle je souhaite me lancer une fois mes études terminées (d'ici 4 à 5 ans). Il est évolutif en tout point (le développement d'un modèle économique est totalement faisable) et l'objectif de l'entreprise sera de vendre des prestations en sécurité pour les petites sociétés ou les bloggers(euses) avec des tarifs intéressants par rapport à d'autres sociétés facturant des prestations exorbitantes pour fixer une petite faille FPD (Full Path Disclosure).
Technologies
Whys utilisera des outils open source dans un premier temps avant de commencer à développer nos propres outils, l'application utilise Vaadin Framework avec une base de données Neo4J, toute action sur le site, même un simple changement de vue, est inscrite dans des fichiers de logs, afin que chaque mouvement soit inscrit quelque part, non pas pour des raisons statistiques ou autre data mining, mais pour des raisons légales (pouvoir dire qui a scanné qui quand et depuis quelle ip).
J'ai posté cette présentation sur OpenClassroom afin de trouver des développeurs et des rédacteurs, je ne recherche rien en particulier ici si ce n'est éventuellement un autre white hat pour développer les outils de scan.
Ce projet sera, à long terme, une entreprise à part entière, dans laquelle je compte lancer une grosse activité autour de la sécurité grand public. Avec tout ce qui se passe en ce moment, beaucoup se posent des questions sur la réelle sécurité de leur site, et quand on voit que presque 30% des sites wordpress sont encore en 3.4 alors qu'on a dépassé la 4.0, ils ne s'en rendent pas compte car ce n'est pas dans leur domaine de compétences.