Bijour à tous …
Alors voilà, après des mois de développement (le dépôt de google a été crée le 1 juillet 2008!!!), une première version beta est sortie (Je mettrais une archive pour windows en ligne lundi).
Cette version propose :
- La possibilité de crawler/scanner un site
pour trouver : des XSS, SQL Injection et … - Le moteur de reconnaissance utilise des regexps (permettant d’évoluer facilement).
- Les différents pattern de découvertes sont stockés dans une db sqlite (permettant une mise à jour facile).
- Un navigateur, qui permettra de matter des sites durant le scan ^^ (merci webkit).
Les fonctions qui seront développées pour la prochaine beta :
- Un meilleur affichage du rapport des failles/bugs trouvés. (peut être génération d’un html)
- Un éditeur de header pour webkit (si possible, histoire de pouvoir faire tester les failles à l’utilisateur).
- Amélioration/Nettoyage des classes (y’a pas mal de chose à revoir, certaine méthode sont dans des classes qui n’ont rien à voir avec leurs fonctions).
- Migration sur un modèle MVC des liens et formulaires, le treeView c’est bof ^^.
En rajoutant les patterns du scanner wapiti, il sera aussi possible de détecter les includes, et files inclusions (je mettrais à jour la base de données prochainement ).
Voilà, si vous avez des idées (ou du talent en C++/QT) le site du projet est là pour ça 
Sinon, quelques screens du logiciel en fonctionnement sur un site (développé pour l’occasion avec plein de failles) :
