DenyAll Vulnerability Manager Cloud Edition – v5.6

Précautions pour les tests de site web

DenyAll Edge Tester comprend un scanner actif d'application web, automatisant des milliers de requêtes sur toutes les pages identifiées. Les effets d'un test dépendent totalement du développement de l'application et peuvent être imprévisibles. Ainsi, DenyAll Edge Tester peut tester un formulaire de contact (envoyant un email contenant les champs saisis) non protégé (sans captcha) et déclencher l'envoi de milliers de mails. Par ailleurs, DenyAll Edge Tester envoie des attaques d'injection SQL afin de tester la présence de vulnérabilités dans l'application web. La technique utilisée (blind SQLi) met en pause la base de données sous-jacente à l'application. Si l’attaque réussit, il est donc possible de ralentir la base de données et donc l'application web. Autre exemple : si l'application web est un blog sans authentification, DenyAll Edge Tester postera des milliers de commentaires en tentant de trouver des vulnérabilités dans le formulaire de post de commentaire.

La recommandation essentielle est de faire un premier test sur l'environnement de pré-production de l'application web. Ensuite, le test peut être programmé à un horaire n'impactant pas les utilisateurs, et arrêté en cas d'anomalie.

Journal des modifications
v5.6 (22/05/2015)
  • Mise à jour majeure OpenVAS ;
  • Merge des améliorations sqlmap ;
  • Configuration des tests aggressifs dans la programmation des tâches ;
  • Améliorations du crawler web (correction des performances et crashs) ;
  • Améliorations ergonomiques de l’interface ;
  • Possibilité de renommer les actifs ;
  • Ajout d’un mode de rapport sans détails des vulnérabilités (résumé seulement) ;
  • Correction de bugs javascript sous Internet Explorer ;
  • Ajout d’un connecteur syslog.
v5.5 (13/10/2014)
  • Correction de la vulnérabilité Bash "ShellShock" (mise à jour du bash embarqué) ;
  • Mise à jour de sécurité pour détecter la vulnérabilité Bash "ShellShock" (CVE-2014-6271, CVE-2014-7169) pour les tests en boîte blanche uniquement.
v5.4 (26/05/2014)
  • Correction de la vulnérabilité Heartbleed (mise à jour de OpenSSL utilisé pour l'interface graphique) ;
  • Misé à jour de sécurité pour détecter la vulnérabilté Heartbleed (CVE-2014-0160).
v5.3 (15/12/2013)
  • Ajout de la possibilité de partager les cookies de session web pour éviter les schémas d'authentification complexes ;
  • Ajoute automatiquement les noms et comptes identifiés dans les dictionnaires ;
  • Rapporte le nombre de vulnérabilités au lieu du nombre de catégories (regroupant les patches manquants) ;
  • Ajout de la rotation des journaux pour éviter le remplissage du disque ;
  • Désactivation du crawler javascript quand trop d'erreurs et timeouts sont rencontrés ;
  • Ajout des définitions de groupes dans les logs d'audit ;
  • Le dictionnaire des Parties d'URL interdites n'est plus sensible à la casse, donc "logout" exclura aussi "Logout".
v5.2 (12/08/2013)
  • Ajout du support des licences par analyse ;
  • Ajout de références PCI DSS ;
  • Possibilité de sélectionner les tests web à effectuer lors de la programmation d'une tâche (VM seulement) ;
  • Ajout d'une vue par vulnérabilités (VM seulement) ;
  • Possibilité d'exclure les pages de déconnexion par sites web (VM et SaaS) ;
  • Ajout d'une option pour definir une durée maximum pour une tâche (VM et SaaS) ;
  • Ajout dans les rapports de la liste des formulaires et des URL externes rencontrées lors d'une analyse de site web ;
  • Ajout de log des actions des utilisateurs (VM seulement).
v5.1 (12/04/2013)
  • Correction d'un bug provoquant le scan de localhost lorsque la résolution de nom netbios échoue.
v5.0 (15/03/2013)
  • Gestion des groupes utilisateurs (VM seulement) ;
  • Gestion de l'IPv6 ;
  • Amélioration des performances de démarrage d'OpenVAS ;
  • Ajout d'un module de test de trivialité des mots de passe lors des scans en boîte blanche ;
  • Barre des tâches signalant une tâche en arrière plan en cours et son avancement ;
  • Ajout d'un panneau de contrôle des tâches programmées et en cours (SaaS) ;
  • Ajout de la possibilité de déclencher une analyse ponctuelle directement depuis l'inventaire et les tickets (VM seulement) ;
  • Ajout de filtres d'autogroupement pour classer automatiquement les actifs dans les groupes en fonction de critères définis (VM seulement) ;
  • Ajout d'une analyse différentielle optionnelle pour les rapport PDF et MHT (VM seulement) ;
  • Bugfixes.
v4.9 (29/10/2012)
  • Export (XML) des résultats de DenyAll Edge Tester et DenyAll Auditor et import au sein de DenyAll Vulnerability Manager afin de bénéficier de la consolidation et du suivi des vulnérabilités ;
  • Paramétrage de variables internes (timeouts, niveau de parallélisation...) ;
  • Possibilité de personnaliser la mise en page des rapports (nécessite un déploiement spécifique, contacter DenyAll pour bénéficier de cette possibilité) ;
  • Service SSH (optionnel) ;
  • Bugfixes.
v4.8 (04/09/2012)
  • Migration vers Ubuntu 12.04 LTS ;
  • Rebranding : rachat de VulnIT par DenyAll ;
  • Support des clés SSH pour les tests boîte blanche sous Unix ;
  • Découverte et analyse des fichiers WSDL ;
  • Détection des injections SQL dans les webservices ;
  • Ajout d'un filtre dans l'inventaire (machine virtuelle) pour sélectionner rapidement une machine ;
  • Améliorations diverses de la solution SaaS "Edge Tester" (architecture redondante, historique des rapports, gestion du compte) ;
  • Changement du format de licence (contacter le support pour obtenir une mise à jour).
v4.7 (22/05/2012)
  • Ajout de reporting sur les tickets (historique du ticket et génération de rapport exportable) ;
  • Ajout d'une fonctionnalité de sauvegarde/restauration des données ;
  • Remontée d'informations sur les machines (OS, bannières web) ;
  • Amélioration du crawler web (login formulaires JS).
v4.6 (26/03/2012)
  • Ajout d'un nouveau plugin de revue d'ACL sur les partages de fichiers ;
  • Ajout de tests web (directory indexing sur IIS et fonctions HTTP type DELETE) ;
  • Validation des comptes d'authentification fournis au moment de l'enregistrement (et non après un premier test) ;
  • Correction d'une anomalie dans l'exécution des tests de patch management (ne démarrant pas dans certaines configurations) ;
  • Correction d'une anomalie d'interruption de découverte réseau.
v4.5 (22/02/2012)
  • Ajout d'une revue de configuration de bases de données (tests en boîte blanche) sur Oracle, SQL Server et MySQL ;
  • Ajout d'un nouveau plugin de décryptage des mots de passe (test de robustesse) sur Oracle, SQL Server et MySQL ;
  • Personnalisation des services tournant sur chaque port, permettant de tester des services connus sur des ports exotiques ;
  • Ajout des tests de patch management agressifs, exécutés optionnellement via une page de configuration cachée ;
  • Correction du blocage des comptes intempestifs lors de tests sur DC.
v4.4 (16/01/2012)
  • Ajout d'une revue de configuration Windows (politique de sécurité et comptes, existence d'un pare-feu et antivirus à jour, etc) ;
  • Ajout des tests de patch management de risque faible et moyen (CVSS<7). Changement de vocabulaire (faible, moyen, élevé, majeur, critique) ;
  • Intégration de nouveaux tests web (injection de commande et injection LDAP) et élimination d'une fuite mémoire lors des tests web ;
  • Ajout d'une revue de configuration Unix (tests en boîte blanche) ;
  • Ajout d'un nouveau plugin de décryptage des mots de passe Unix (par accès SSH distant) ;
  • Parallélisation des tests (gain de temps significatif sur les tests SSH et Oracle) ;
  • Correction des problèmes d'impression non désirées lors du scan de ports.
v4.3 (22/11/2011)
  • Ajout du suivi et exécution manuelle des tâches (VulnIT-VM) ;
  • Pondération des vulnérabilités par la valeur stratégique affectée à chaque machine (VulnIT-VM) ;
  • Optimisation du temps d'affichage de l'interface graphique (VulnIT-VM) ;
  • Création de tâche par groupe de machines ou sites web (VulnIT-VM) ;
  • Envoi de mails d'alerte à la fin des tâches et pour suivre les tickets (VulnIT-VM) ;
  • Parcours des sites web 2.0 (par l'intégration d'un moteur javascript et d'un navigateur) ;
  • Ajout du filtrage réseau dans la console de partages Windows ;
  • Fiabilisation du scan de ports (via l'intégration de nmap).
v4.2 (28/09/2011)
  • Amélioration de l'expérience utilisateur (nombreux apports dans l'interface de VulnIT-VM) ;
  • Enrichissement des tests de site web (CSRF et XSS) ;
  • Ajout de l'activation offline (en cas de problème de l'utilisateur pour se connecter à Internet) ;
  • Correction d'anomalies (écran de démarrage de VulnIT-VM, enregistrement de rapport sur VulnIT-KEY).
v4.1 (05/08/2011)
  • Ajout à VulnIT-VM de 3 fonctionnalités majeures : l'automatisation des tests, le suivi des corrections (au moyen de tickets) et la supervision (grâce au tableau de bord) ;
  • Création de groupes logiques de machines (par exemple les serveurs web, ou les imprimantes) pour une vision consolidée dans le tableau de bord ou les rapports ;
  • Amélioration de la rapidité et de la pertinence des tests de site web ;
  • Support du HTTPS et de l'authentification AD pour se connecter à un site web ;
  • Ajout de dictionnaires pour les tests d'authentification sur les sites web et les bases de données MySQL ;
  • Correction d'anomalies mineures.
v4.0 (09/06/2011)
  • Refonte de l'interface du logiciel, offrant une plus grande souplesse d'utilisation ;
  • Intégration du nouveau linux Ubuntu 11.04 pour supporter les matériels les plus récents ;
  • Migration à OpenVAS 4 pour supporter les tests de patch management en boîte blanche et intégrer les derniers tests de correctifs manquants ;
  • Distinction - au sein du rapport - des vulnérabilités détectées en boîte blanche et en boîte noire ;
  • Amélioration de la connexion à Internet (support d'authentification Kerberos) ;
  • Ajout dans le rapport d'un récapitulatif par machine testée ;
  • Correction d'une dizaine d'anomalies mineures.
v3.1 (03/03/2011)
  • Portage du logiciel sous forme de machine virtuelle, dénommée VulnIT-VM ;
  • Ajout d'une console de test dédiée aux partages de fichiers Windows, proposé en module optionnel ;
  • Export de rapports enrichi de nouveaux formats CSV (pour intégration dans Excel par exemple), et MHT (pour modification dans Word par exemple), proposé en module optionnel ;
  • Gestion de l'inscription du poste au domaine Windows pour faciliter l'accès à Internet et aux mises à jour (via le menu 'Proxy') ;
  • Amélioration du parcours de site web (suivi de redirections, détection des ports hébergeant des sites web, limitation à un alias voire un sous-répertoire de site web) ;
  • Ajout de références sur les vulnérabilités web ;
  • Correction d'un problème de prise en charge du compte administrateur de domaine pour les tests de patch management ;
  • Fiabilisation des tests de relai de spam et d'authentification sur MSSQL.
v3.0 (10/02/2011)
  • Intégration des tests de site web (module optionnel) ;
  • Test de 'ping' supprimé lorsqu'une seule cible est précisée (pour contourner un éventuel filtrage par firewall) ;
  • Correction d'un problème de mise en page du rapport ;
  • Amélioration de la réinitialisation d'un test (pour éviter que les vulnérabilités d'un test apparaissent dans le rapport de test suivant).
v2.3 (03/01/2011)
  • Stabilisation du linux Ubuntu 10.10 ;
  • Accès au paramétrage des dictionnaires de mots (wordlists) ;
  • Correction d'un bug sur l'authentification (par medusa).
v2.1 et v2.2 (octobre-novembre 2010)
  • Versions instables (intégration du nouveau linux Ubuntu 10.10).
v2.0b (24/09/2010)
  • Stabilisation de l'exécution d'OpenVAS (en particulier dans sa phase de finalisation) ;
  • Correction d'un problème de lecture du fichier de licence au démarrage du logiciel ;
  • Amélioration des tests sur les partages de fichiers et services SSH.
v2.0a (20/09/2010)
  • Mise à jour de openvas-libraries (version 3.1.3), apportant un gain de rapidité des tests de l'ordre de 40% ;
  • Prise en compte du changement de type de licence (évaluation à standard) ;
  • Correction de l'anomalie de la barre d'avancement lors du téléchargement ;
  • Correction d'erreurs de compilation sur medusa et net-snmp.
v2.0 (06/09/2010)
  • Intégration de OpenVAS pour adresser les tests de patch management, avec ou sans accès local à la cible ;
  • Intégration de aircrack pour ajouter une console de test wifi ;
  • Amélioration du scanner de port (anciennement TCP connect réalisé par propecia, remplacé par TCP half-open par synscan) ;
  • Ajout du paramétrage de la profondeur des tests (nombre de services scannés).
v1.0 (22/05/2010)
  • Première version de VulnIT intégrant une quinzaine d'outils.

Propriété intellectuelle

La présente interface est la propriété de la société DenyAll. La société DenyAll décline toute responsabilité pour tous dommages résultant d'une intrusion frauduleuse d'un tiers, ayant entraîné une modification des informations ou éléments mis à disposition sur cette interface.

La présentation et chacun des éléments, y compris les marques, logos et graphiques apparaissant sur cette interface sont protégés par les lois en vigueur sur la propriété intellectuelle, et appartiennent à la société DenyAll.

Toutes les informations (documents contenus dans l'interface, qu'elle qu'en soit la forme, textes, images, sons, ainsi que tous les éléments créés pour le logiciel) sont protégés par les droits de propriété intellectuelle. La reproduction et l'utilisation de tous documents publiés sur cette interface sont exclusivement autorisées à des fins strictement personnelles et privées, et moyennant mention de la source. A l'exception d'une stricte utilisation pour les besoins de la presse et sous réserve du respect des droits de propriété intellectuelle et de tout autre droit de propriété dont il est fait mention, toute reproduction, utilisation ou diffusion de copies réalisées à d'autres fins, autres que strictement personnelles et privées, est expressément interdite et sanctionnée pénalement. Aucune licence, ni aucun autre droit que celui de consulter le site, n'est conféré à quiconque au regard des droits de propriété intellectuelle.

Licence d'utilisation

Consultez la licence d'utilisation