Bonjour à tous …
Alors voila … je vais vous parler très rapidement de l’application ratproxy, qui est une application un peu différentes des scanners de sécurité du style acunetix, ou des proxy « facilitant les pentest » du genre (WebScarab, Paros, Burp ou ProxMon).
Celui-ci s’utilise comme un proxy (comme sont nom l’indique 
), et lorsque vous naviguez sur des sites, il regarde le contenu de la page web et imagine des failles possible, ce qui le rend très utile, car il ne regarde les failles que dans les pages que vous regardez, donc pas d’utilisation abusif de bande passante comme un scanner, des possibilités d’obtenir un rapide rapport de la session de surf (à générer depuis la console pour le moment), ce qui est très intéressant c’est qu’il analyse pas mal le javascript (XSS et …), possibilité de détecter des problèmes dans des applications Web2.0, du CSRF et autre …
Donc voilà … pour les webmasters qui ne veulent pas perdre trop de bande passante dans des tests de sécurités : lien de downloads (version béta!) (sortie il y a 6 heures!! noté que php-engineering is on the edge!!).
Pour compiler le logiciel, un simple make dans le dossier de l’appli suffit.
Ensuite faite :
./ratproxy -w session.log -x -t -s -c -g
qui vous permettra de générer un fichier session.log qui loggera les xss (-x) transversal directory (-t) les requetes post (-s) les cookie (-c) et -g les CSRF
Puis configurer firefox pour utiliser le proxy localhost:8080, puis pour récupérer un rapport :
./ratproxy-report.sh session.log >report.html
et voilà … il vous faudra ensuite lire le fichier avec firefox ^^ et vous aurez accès à pas mal d’info sympa sur votre site web.
Pourquoi scanner votre site web?? Tous simplement parce que 70% des sites web possède des failles … mon stage au MIV l’aura prouvé ^^.
Allez bonne après-midi!!
Utiliser plutôt la commande suivante pour avoir un log détaillé (plus les traces des headers) et seulement filtré sur le proxy un domaine particulier (par exemple pour enlever les appels pub)
/ratproxy/ratproxy-1.51.exe -v /ratproxy/log/ -w /ratproxy/log/ratproxy.log -d ledomaine.com -lextifscgjm
Ratproxy est aussi utilisable sur Windows via Cygwin d’où le .exe dans ma commande.
bonjour,
votre article est très intéressant.
Néanmoins, débutant, je ne sais pas comment mettre en place ratproxy.
Il faut parait il quand on est sur windows, utiliser cygwin.
Mais comment utilise t on les 2 en simultané?
Comment la ligne de commande que vous mentionnez (/ratproxy/ratproxy-1.51.exe -v /ratproxy/log/ -w /ratproxy/log/ratproxy.log -d ledomaine.com -lextifscgjm) se lance t elle? Doit on faire au préalable la création de fichier type log?
Merci pour votre aide,
Christiane
Bonsoir,
il faut installer cygwin et une fois la fenêtre de cygwin ouverte (interface en ligne de commande), allez dans le dossier contenant ratproxy et tapez la commande mentionnée.
bonsoir,
merci pour votre message mais lorsque j’ai ouvert la fenêtre de cygwin, comment va t on dans le dossier ratproxy pour taper la ligne de commande..je débute complètement.
Je connais la fenêtre qui s’ouvre quand on tape cmd dans exécuter sous windows, mais là, je pense que c’est complètement différent car dans la fenetre de cygwin j’ai un $ en début de ligne..je crois qu’une approfondissement est nécessaire, si vous pouviez m’aider un peu plus je vous en serais gré!
et peut être un lien Internet expliquant les manipulations de cygwin et ratproxy en simultané.. voilà où j’en suis..bon eh bien à vous lire…merci d’avance! Chris
Rebonsoir, (désolé pour le retard …)
Dans cette fenêtre, il faut taper plusieurs commandes :
wget http://ratproxy.googlecode.com/files/ratproxy-1.54.tar.gz
tar -xvf ratproxy-1.54.tar.gz
cd ratproxy
make
ratproxy-1.51.exe -w session.log -x -t -s -c -g
Voilà, normalement si vous avez installé tar, gcc-core, openssl-dev, openssl et make (avec cygwin), ça devrait fonctionner.
Bonne chance
Pour des liens : (diapo 16)
http://www.slideshare.net/jsokol/using-proxies-to-secure-applications-and-more-presentation
http://www.butterdev.com/web-security/2008/07/google-ratproxy-web-application-security-audit-tool/
Sinon, vous pouvez utiliser acunetix pour scanner vos sites web : http://www.acunetix.com/cross-site-scripting/Copy-scanner.htm