Sécurité-info [fr]

capture d'écran

Sécurité-info est le premier « vrai » site que j’ai fait.

Inspiré par des sites comme « Hack this Site », et découvrant qu’énormément de sites avaient des problèmes de sécurité, j’ai décidé de créer un site francophone sur la sécurité des sites en PHP.

Après avoir codé le site, j’ai rédigé des tutoriaux et créé des défis, de différents types :
  • Défis réalistes : Ressemblant plus ou moins à des vrais sites, et contenant des failles qu’on doit exploiter.
  • Défis simples : Une simple page, où l’on doit exploiter une astuce plus ou moins facile à trouver, permettant d’aller au défi suivant.
  • Défis javascript : Des défis un peu « hors sujet », permettant de tester ses compétence en débuggage javascript.

Au début du site, alors que j’ajoutais régulièrement des défis et tutoriaux, une petite communauté à commencé à se former, mais j’ai fini par manquer d’inspiration et avoir plein d’autres projets en tête, ce qui a entrainé la mort du site : Je cherche toujours quelqu’un de motivé qui voudrait bien le reprendre (ou repartir complètement sur de nouvelles bases)…

Scanner de sites web

Sécurité-info proposait également un scanner de sites web, codé par mes soins : Il parcours le site et essaye d’injecter un simple code dans les paramètres passés à la page par GET. Il pourra alors détecter la plupart des XSS ou injections SQL. Il essaye aussi de voir si il arrive à lister le contenu de certains répertoires, c’est d’ailleurs de loin le problème de sécurité le plus présent.

Il fait donc des tests assez basiques, et reste incapable de faire des tests de paramètres passés par POST, ou des tests plus avancés.