WebSeekurity - SCRT :: Information Security
SCRT Information Security
Julia Benz
Guide de l’utilisateur
WebSeekurity
Version 1.0
Mars 2012
Table des mati`eres
Table des mati`eres i
1 Introduction 1
1.1 Contributions.............................. 1
1.2 Fonctionnalit´es ............................. 2
2 Installation 3
2.1 Packagesrequis............................. 3
3 D´ebuter avec WebSeekurity 5
3.1 CLI ................................... 5
3.2 GUI ................................... 6
4 Tutoriel et Exemples 12
4.1 AMF................................... 12
4.1.1 Serveur d’exemple . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.2 Mode”Manual” ........................ 13
4.1.3 Mode ”Automatic” . . . . . . . . . . . . . . . . . . . . . . . 15
4.1.4 Mode ”Fuzzing” . . . . . . . . . . . . . . . . . . . . . . . . 17
4.2 SOAP .................................. 18
4.2.1 Serveur d’exemple . . . . . . . . . . . . . . . . . . . . . . . 18
4.2.2 Mode”Manual” ........................ 19
5 Documentation 21
Bibliographie 22
i
Chapitre 1
Introduction
WebSeekurity peut ˆetre utilis´e pour ´evaluer la s´ecurit´e des applications Web qui
utilisent AMF ou SOAP pour interagir avec un serveur. En particulier, les applica-
tions Internet riches d´evelopp´ees grˆace `a la technologie Flex de Adobe [1] peuvent
ˆetre audit´ees grˆace `a cet outil. Jusqu’`a maintenant, AMF et SOAP ont ´et´e int´egr´es
`a l’outil. La gestion des protocoles est faite par plug-in. Cela signifie que d’autres
protocoles de communication pourront facilement ˆetre ajout´es par la suite.
L’outil remplace la partie cliente de l’application et peut ˆetre utilis´e pour com-
muniquer avec le serveur. Il permet d’envoyer des requˆetes et de recevoir les r´eponses
correspondantes. WebSeekurity tente de d´ecouvrir et d’identifier des failles poten-
tielles du cˆot´e du serveur : faiblesse des m´ecanismes d’authentification et d’autorisa-
tion, fuite d’informations, vuln´erabilit´es aux injections SQL, etc.
Plusieurs modes sont propos´es : Manual,Automatic et Fuzzing. Le mode Manual
permet de cr´eer des requˆetes de toutes pi`eces. Le mode Automatic est utilis´e pour
d´ecouvrir les services et m´ethodes de l’application de mani`ere automatis´ee. Finale-
ment, le dernier mode nous permet d’effectuer du fuzzing.
WebSeekurity est distribu´e sous license GNU GPLv2 [2].
1.1 Contributions
Les logiciels suivants ont contribu´e ou inspir´e le d´eveloppement de WebSeekurity.
– L’outil Deblaze [3], distribu´e sous license GNU GPLv2, compatible avec la license
sous laquelle WebSeekurity est distribu´e (GNU GPLv2).
1
2CHAPITRE 1. INTRODUCTION
– Le script Python invRegex.py du package pyparsing [4], distribu´e sous la license
MIT compatible avec la license sous laquelle WebSeekurity est distribu´e (GNU
GPLv2).
– Les exemples fournis par le projet PyAMF [5], distribu´es sous une license MIT.
– Les exemples fournis par le projet SOAPpy [6], distribu´es sous une license BSD.
1.2 Fonctionnalit´es
L’outil impl´emente les fonctionnalit´es suivantes.
A. G´en´eration de requˆetes
– Cr´eation manuelle de requˆetes
– Cr´eation automatique de requˆetes (des dictionnaires sont fournis pour les noms de
services et m´ethodes)
– Mode Fuzzing
– Visualisation des r´eponses
– Protocoles impl´ement´es : AMF et SOAP
B. Historique de session et reporting
– Cr´eation d’un historique
– G´en´eration de rapports HTML bas´ee sur un historique
C. Interfaces
– Interface en ligne de commande
– Interface graphique
D. Compatibilit´e
– Linux
– Windows
– Mac OS
Chapitre 2
Installation
WebSeekurity fonctionne avec Python 2.7 (non compatible avec Python 3.0 et
les versions sup´erieures de Python).
2.1 Packages requis
Les packages suivant doivent ˆetre install´es pour que WebSeekurity fonctionne.
A. PyAMF
Le protocole AMF est support´e par cette librairie [5]. Plus d’informations concer-
nant ce package peuvent ˆetre trouv´ees ici : http ://www.pyamf.org/index.html
B. SOAPpy
Le protocole SOAP est support´e par cette librairie [6]. Plus d’informations concer-
nant ce package peuvent ˆetre trouv´ees ici : http ://pypi.python.org/pypi/SOAPpy/.
Afin que SOAPpy fonctionne, les packages suivants doivent ˆetre install´es :
– fpconst 0.6.0 (ou version s´epurieure) : http ://pypi.python.org/pypi/fpconst
– wstools : http ://pypi.python.org/pypi/wstools
C. pyparsing
Cette librairie Python est utile pour parser les expressions r´eguli`eres [4]. Plus d’in-
formations concernant ce package peuvent ˆetre trouv´ees ici :
http ://pyparsing.wikispaces.com/
3
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1
/
24
100%
