A l’occasion d’une nouvelle mise à jour ayant provoqué la parution de quelques filets de news, j’ai eu l’occasion de découvrir le script websploit. Certains penseront : "encore un script lambda pour identifier des vulnérabilités web". Et bien, oui et non …
En effet, ce qui a principalement retenu mon attention sur ce script, c’est qu’il réutilise les modules de metasploit. Ceux qui ont déjà utilisé le framework savent qu’il est nécessaire d’identifier les bons modules pour atteindre sa cible et qu’il faut plusieurs paramétrages pour générer l’ensemble du test. Il est donc intéressant d’avoir un outil qui réalise l’ensemble du travail.
On notera que même si websploit doit se lancer en mode console, l’ergonomie sous forme de menu reste très simple et prend l’utilisateur par la main.
Le seul reproche majeur que je pourrais faire à cet outil, c’est un manque de documentation. Ainsi, si le menu 1 cible clairement le test de serveurs web et est bien automatisé, les menus 2, 3 et 4, qui donnent accès à de nombreuses attaques ne seront correctement interprétés que par des experts connaissant déjà les attaques nommées.
Ce point reste dommageable car il est alors difficile d’apprécier l’impact de l’action qui sera lancée en cas de sélection d’une attaque. Situation difficilement acceptable lorsque l’on travaille sur un environnement de production. Un passage en lab sera donc probablement une obligation pour maitriser l’outil et pouvoir l’intégrer dans la trousse à outil de l’auditeur.
Bref, je trouve cet outil intéressant. S’il est certain que les auditeurs capés auront déjà réalisé par eux-mêmes les scripts de tests, les nouveaux arrivants ou les acteurs ponctuels pourront certainement y trouver un intérêt pour compléter le panel de tests.
Cedric