Vous voulez savoir en 1 minute si votre site internet est protégé ou non contre les principales techniques de piratage ?
Vincent Guesnard, CEO de l’infogérant Touchweb nous donne quatre tests à effectuer sur son site.
Il s’agit simplement de rajouter les séquences indiquées ci-dessous à la suite de votre nom de domaine et de voir la réponse qui est renvoyée par votre serveur.
Si votre site est protégé, alors votre navigateur va afficher le message HTTP 403 (Forbidden), ou 405/406 sur les appels.
Comme dans l’exemple ci-dessous, avec un tests sur le site de l’Elysée, ou sur le site de Jloo.
Par contre, si la page s’affiche normalement ou si le navigateur renvoient un message d’erreur 301/302 ou une 200, alors le site est vulnérable. Rassurez-vous, on est sur des blocages de niveau junior en cybersécurité, faciles à mettre en œuvre.
Vulnérabilités aux injections SQL
https://www.monsite.com/?id=select(sleep(10));–
Vulnérabilités aux injections PHP
https://www.monsite.com/?id=%3C%3Fphp%20echo%20%2742%27%3B
Vulnérabilités aux injections XSS :
https://www.monsite.com/?id=%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E
Vulnérabilités aux paths traversals :
A vous de jouer ! Vous serez surpris de voir le nombre de sites qui ne renvoient pas de message de blocage, y compris chez des très gros acteurs e-commerce.