L'Université technique de Vienne a conçu un programme capable de repérer automatiquement les failles de sécurité des sites internet. Le logiciel, dénommé SecuBat Framework, agit comme le ferait un pirate informatique : il attaque les sites web dynamiques afin d'identifier les forces et faiblesses de leurs systèmes de sécurité. Il les sollicite par des attaques croisées XSS (Cross-Site Scripting Attacks) ou par des injections SQL, c'est-à-dire en insérant des scripts Javascript ou des fragments de code SQL dans leurs formulaires, pour interroger leurs bases de données ou modifier leurs pages. SecuBat est composé d'un crawler multi-processus (qui parcourt toute l'arborescence d'un site web pour en lister les pages), de modules d'attaque (qui s'en prennent à celles d'entre elles contenant des formulaires) et d'un module d'analyse (pour la compilation et la visualisation des résultats). D'après les premiers essais, menés sur près de 20.000 adresses web, 6,63% des applications internet sont vulnérables à des injections SQL, 4,30% à des attaques XSS simples et 5,60% à des attaques XSS encodées. Les sites gouvernementaux et les sites de commerce électronique ne sont pas épargnés.
- 'SecuBat: A Web Vulnerability Scanner'. Stefan Kals, Engin Kirda, Christopher Kruegel & Nenad Jovanovic ; International World Wide Web Conference, Edinbourgh - Engin Kirda, Secure Systems Lab / Institut für Informationssysteme, Technische Universität Wien, Argentinierstraße 8/1841, A-1040 Wien - tél : +43 1 58801 1841, fax : +43 1 58801 18492 - ek@infosys.tuwien.ac.at - http://www.infosys.tuwien.ac.at et http://www.infosys.tuwien.ac.at/staff/ek/
