De nombreux scripts open-source possèdent des failles de sécurité, et votre site web encoure un risque si vous les avez installés. Le mythique Cult of the Dead Cow à récemment distribué Goolag, un outil utilisant Google pour rechercher ces failles de sécurité sur votre site.
Installation
Récupérez le fichier exe de Goolag ici et installez-le. Vous trouverez ensuite le programme dans le Menu Démarrer, Applications.
Utilisation
La première chose à faire est de rentrer l’url de votre site dans le champ correspondant. Ensuite, sélectionnez, dans l’arborescence située dans la partie gauche de l’écran, une ou plusieurs faille(s) de sécurité connues à ce jour. Faites attention à ne pas trop en sélectionner d’un seul coup: En effet, si le programme effectue un nombre trop important de requêtes, Google vous banniera.
Un très grand nombre de failles de sécurités sont répertoriées par Goolag. Pour chaque faille, un petit descriptif très instructif parle du problème en détail.
Après que vous ayez lancé le scan, les résultats de vos requêtes s’afficheront dans la colonne de droite.
Fonctionnement
Comme je le disais un peu plus haut, Goolag utilise Google pour trouver les failles de sécurités qui pourraient être sur votre site. Il y à quelques temps, j’avais écrit un article sur l’utilisation de paramètres un peu spéciaux dans Google, dont le but était de faire des recherches très pertinentes qui permettaient, entre autres, de trouver des mp3 d’un artiste.
Les requêtes lancées par Goolag sont identiques, à l’exeption que nous ne cherchons pas de la musique, mais des failles de sécurité connues.
En guise d’exemple, tapez la ligne suivante dans Google:
allinurl:auth_user_file.txt
Les résultats parlent d’eux-même: Plusieurs sites disposent en effet de fichiers auth_user_file.txt, contenant des passwords qui pourront être exploités par un internaute mal intentionné.
Il est totalement hallucinant de voir tout ce que l’on peu trouver uniquement avec Google: Je vous invite à visiter cette page si le sujet vous interesse. Mais rappellez vous que ces outils sont là pour vous aider à protéger votre site des attaques, pas pour attaquer d’autres sites.