Outils d'utilisateurs

Outils du Site


outils_web

Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

Lien vers cette vue

outils_web [2019/05/12 18:14]
_john_doe [Découverte]
outils_web [2019/10/22 12:18] (Version actuelle)
M0N5T3R
Ligne 2: Ligne 2:
  
 ===== Reconnaissance & Mapping ===== ===== Reconnaissance & Mapping =====
 +
 +
 +=== webtech ===
 +  * Identify technologies used on websites. 
 +  * https://github.com/ShielderSec/webtech
 +
  
 === Burp Suite === === Burp Suite ===
Ligne 17: Ligne 23:
  
   * http://sourceforge.net/projects/dirbuster/   * http://sourceforge.net/projects/dirbuster/
 +
 +
 +=== dirhunt ===
 +  * énumération des répertoires sans bruteforce
 +  * https://ogma-sec.fr/dirhunt-enumeration-des-repertoires-web-sans-brute-force/
 +
 +
  
 === Fierce Domain Scanner ===  === Fierce Domain Scanner === 
Ligne 59: Ligne 72:
  
 === WebShag ===  === WebShag === 
-  * Outil d'audit de serveurs web, multi taches, multi-plateformes web, qui regroupe des fonctionnalités utile pour l'audit de serveurs web telles que la découverte des pages et des répertoires du serveur, le scan  d'URL ou le fuzzing.+  * Outil d'audit de serveurs web, multi taches, multi-plateformes web, qui regroupe des fonctionnalités utiles pour l'audit de serveurs web telles que la découverte des pages et des répertoires du serveur, le scan  d'URL ou le fuzzing.
  
   * http://www.scrt.ch/en/attack/downloads/webshag   * http://www.scrt.ch/en/attack/downloads/webshag
  
 === Zed Attack Proxy ===  === Zed Attack Proxy === 
-  * Outil intégré de tests de pénétration, pour la recherche de vulérabilités Web. (OWASP)+  * Outil intégré de tests de pénétration, pour la recherche de vulnérabilités Web. (OWASP)
  
   * https://www.owasp.org/index.php/OWASP_Ze...xy_Project   * https://www.owasp.org/index.php/OWASP_Ze...xy_Project
Ligne 75: Ligne 88:
  
 ===== Découverte =====  ===== Découverte ===== 
 +
 +
 +
 +=== ACSTIS ===
 +  * Automatedclient-side template injection (sandboxescape/bypass)detection for AngularJS.
 +
  
 === Burp Suite ===  === Burp Suite === 
   * Voir  la définition de Burp Suite dans la section Reconnaissance & Mapping.   * Voir  la définition de Burp Suite dans la section Reconnaissance & Mapping.
 +
 +=== cms-explorer ===
 +  * Revealthe specific modules,plugins,components and themes that various websites powered by content management systems are running.
  
 === Flare ===  === Flare === 
Ligne 93: Ligne 115:
  
   * https://www.owasp.org/index.php/JBroFuzz   * https://www.owasp.org/index.php/JBroFuzz
 +
 +
 +
 +=== joomscan ===  
 +  * Joomla vulnerability scanner.
 +
  
 === ProxyStrike ===  === ProxyStrike === 
Ligne 108: Ligne 136:
  
   * http://sqlmap.org/   * http://sqlmap.org/
 +
 +
 +
 +=== SQLmate ===
 +  * Afriend of sqlmap that identifies sqli vulnerabilities based on a given dork and website 
  
 === w3af ===  === w3af === 
Ligne 133: Ligne 166:
  
 ===== Exploitation =====  ===== Exploitation ===== 
 +
 +
 +
 +
 +=== Commix === 
 +  * [comm]and [i]njection e[x]ploiter) est pour réaliser des attquies d'injection de commande 
 +  * https://github.com/commixproject/commix
 +
  
 === Durzosploit ===  === Durzosploit === 
-  * It is a JavaScript exploit generation framework that works through the console focused on XSS fail.+  * Framework de génération d'exploits JavaScript. S'utilise en ligne de commandes. Dédié aux failles XSS.
  
   * N/A   * N/A
  
 === Laudanum ===  === Laudanum === 
-  * It is a collection of injectable filesdesigned to be used in a pentest when SQL injection flaws are found and are in multiple languages for different environmentsThey provide functionality such as shell, DNS query, LDAP retrieval and others.+  * Collection de fichiers injectablesqui s'utilise lors d'un pentest lorsque des failles SQL ont été trouvéesCouvre de multiples langages et différents environnements. Permet des fonctionnalités telles que shell, requete DNS, récupération LDAP et autres.
  
   * http://sourceforge.net/projects/laudanum/   * http://sourceforge.net/projects/laudanum/
  
 === Metasploit ===  === Metasploit === 
-  * The Metasploit Framework is the actual development platform used to create security test tools and exploit modules and can also be used as a penetration testing systemIt is an extremely powerful command-line tool that has released some of the most sophisticated exploits to public security vulnerabilitiesIt’s also known for its anti-forensic and evasion toolswhich are built into the Metasploit Framework.+  * Le framework Metasploit est l'actuelle plate-forme de développement utilisée pour créer des outils de test de sécurité et d'exploitation de modules. Peur être aussi utilisé en tant que système de test de pénétration. C'est un outil en ligne de commandes très puissant qui a développé certains des exploits les plus sophistiqués destinés au grand publiqueEst aussi connu pour ces outils  anti-forensic et d'évasionqui font parti du Framework Metasploit.
  
   * http://www.metasploit.com/   * http://www.metasploit.com/
  
 === MonkeyFist ===  === MonkeyFist === 
-  * It is a dynamic request attack toolIt allows you to do some interesting things with various forms of cross-site requests and play them back to the user’s browserThese requests may contain session information bypassing Cross-Site Request Forgery protection mechanisms.+  * Outil dynamique d'attaque basé sur les requêtesIl permet de forger différentes formes de requêtes cross-site et de les rejouer dans le navigateur de l'utilisateurCes requêtes peuvent contenir  : session information bypassingCross-Site Request Forgeryprotection mechanisms.
  
   * N/A   * N/A
 +
 +
 +
 +=== Netsparker Application Security Scanner === 
 +  * Application security scanner to automatically find security flaws
  
 === SQLBrute ===  === SQLBrute === 
-  * It is a tool for brute forcing data out of databases using blind SQL injection vulnerabilities.+  * Outil de brute forcing de vulnérabilités de base de données utilisant des injections SQL à l'aveugle (blind SQL injection).
  
   * https://github.com/GDSSecurity/SQLBrute   * https://github.com/GDSSecurity/SQLBrute
  
 === SQLmap ===  === SQLmap === 
-  * See definition of SQLmap in Discovery+  * Voir la définition de SQLmap dans la section Découverte.
  
 === SQLNinja ===  === SQLNinja === 
-  * It is a tool targeted to exploit SQL Injection vulnerabilities on a web application that uses Microsoft SQL Server as its back-end.+  * Outil ciblant les vulnérabilités SQL par injection sur les serveurs Web utilisant Microsoft SQL Server en back-end.
  
   * http://sqlninja.sourceforge.net/download.html   * http://sqlninja.sourceforge.net/download.html
  
 === w3af ===  === w3af === 
-  * See definition of w3af in Recon & Mapping+  * Voir la définition de w3af dans la section Reconnaissance & Mapping
  
 === Yokoso ===  === Yokoso === 
-  * It is a project focused on creating fingerprinting code that is deliverable through some form of client attack.+  * Projet qui fournit des objets javascript et Flash qui peuvent être utilisés lors d'une attaque coté client, au travers d'attaques XSS. 
 +http://sourceforge.net/projects/yokoso/files/
  
-  * http://sourceforge.net/projects/yokoso/files/ 
  
-=== Zed Attack Proxy ===  +=== OWASP Xenotix XSS Exploit Framework === 
-  * See definition of Zed Attack Proxy in Recon & Mapping+  * Pour détecter des XSS
  
 +=== IronWASP ===
 +  * Pour détecter des XSS
 +
 +=== Acunetix Free ===
 +  * Pour détecter des XSS et vuln
 +
 +=== arachni ===
 +  * Pour détecter des XSS
 +
 +
 +=== SecApps ===
 +  * In-browserweb application security testing suite.
 +
 +
 +=== w3af ===
 +  * Webapplication attack and audit framework.
 +
 +=== Wapiti ===
 +  * Blackbox web application vulnerability scanner with built-in fuzzer.
 +
 +=== WAScan ===
 +  * Web Application Scanner 
 +
 +=== WPScan === 
 +  * Blackbox WordPress vulnerability scanner.
 +
 +
 +=== ImmuniWeb Self-Fuzzer Addon for Firefox ===
 +  * Pour détecter des XSS
 +
 +=== xss auditor ===
 +  * https://www.chromium.org/developers/design-documents/xss-auditor
 +
 +=== Zed Attack Proxy === 
 +  * Voir la définition de Zed Attack Proxy dans la section Reconnaissance & Mapping
  
 +=== Zoom ===
 +  * Powerfulwordpress username enumerator with infinite scanning.
  
-===== Methodologies ===== +===== Méthodologies ===== 
  
 === OWASP ===  === OWASP === 
  
-  * This project's goal is to create a "best practices" web application penetration testing framework which users can implement in their own organizations and a "low levelweb application penetration testing guide that describes how to find certain issues.+  * Ce projet pour but de créer un cadre de "bonnes pratiquesde tests de sécurité d'applications web que les utilisateurs peuvent implémenter dans leur propre organisation, et un  guide de test de penetration des applications web "A faible coût", qui décrit comment découvrir certaines failles.
  
   * https://www.owasp.org/index.php/Category...ng_Project   * https://www.owasp.org/index.php/Category...ng_Project
  
-===== Operating Systems ===== +===== Systeme d'Exploitation ===== 
  
 === Samurai WTF ===  === Samurai WTF === 
  
-  * The Samurai Web Testing Framework is live linux environment that has been pre-configured to function as a web pen-testing environmentThe CD contains the best of the open source and free tools that focus on testing and attacking websites. In developing this environment, we have based our tool selection on the tools we use in our security practice. We have included the tools used in all four steps of a web pen-test.+  * Le framework Samurai Web Testing Framework est un environnement linux live qui été pré-configuré pour fonctionner comme un environnement de pentesting de sites web. Le CD contient les meilleurs outils gratuits et open source  dédiés aux tests et attaques de sites web. 
  
   * http://samurai.inguardians.com/   * http://samurai.inguardians.com/
  
outils_web.1557677640.txt.gz · Dernière modification: 2019/05/12 18:14 par _john_doe