Cybersécurité : 6 outils de pentest open source
De commix à XSStrike, voici sur six outils qui permettent de mettre en œuvre autant de types d’injections.
Injection de commandes : commix
Forme : script Python.
Licence : GPLv3
3,5k étoiles sur GitHub
Cibles prises en charge : CGI, GCH, Perl, PHP, Python, Ruby, ASP.NET (expérimental) et JSP (expérimental)
Peut détecter et exploiter les injections suivantes :
1 - Qui entraînent une réponse de la part de l'application
- Classiques (remplacement de la requête d'origine ou concaténation) : Shellshock (dans Bash), exfiltration ICMP (via ping), exfiltration DNS...
- Dynamiques (fonction eval())
2 - Techniques « à l'aveugle »
- Fondées sur l'introduction d'un délai d'exécution
- Fondées sur l'écriture des résultats dans un fichier
À consulter en complément, notre liste de 8 outils pour la phase amont (reconnaissance)