w3af Guide de l'Utilisateur - Exploit Database
w3af Guide de l'Utilisateur - Exploit Database
w3af Guide de l'Utilisateur - Exploit Database
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Avertissement sur la découverteLa phase <strong>de</strong> découverte est a double tranchants: l'utiliser avec bon sens, et ellevous donnera beaucoup d'informations sur l'application web distante, l'utiliser enétant trop gourmand et vous attendrez <strong>de</strong> longues heures avant qu'elle nes'achève. Juste pour être clair; être trop gourmand est d'activer tous les pluginsdécouverte (“discovery all”) sans même savoir ce que vous faites ou avoir visitémanuellement le site et compris son fonctionnement.Quelques exemples vont rendre les choses plus claires:●“Vous testez une application web en intranet, l'applicatif web est énorme etn'utilise aucun co<strong>de</strong> macromedia flash ou javascript”.Recommandation : “discovery all,!spi<strong>de</strong>rMan, !fingerGoogle, !fingerMSN, !fingerPKS, !MSNSpi<strong>de</strong>r, !googleSpi<strong>de</strong>r, !phishtank, !googleSafeBrowsing”.Raison: Spi<strong>de</strong>rman ne doit être utilisé uniquement quand webSpi<strong>de</strong>r ne peutpas trouver tous les liens. Les plugins fingerGoogle, fingerMSN et fingerPKSdécouvrent les adresses mails à partir <strong>de</strong>s moteurs <strong>de</strong> recherche, s'il s'agitd'un intranet; les adresses du site ne <strong>de</strong>vraient pas être disponibles à partir<strong>de</strong>s moteurs <strong>de</strong> recherche internet, car jamais in<strong>de</strong>xés. MSNSpi<strong>de</strong>r etgoogleSpi<strong>de</strong>r trouvent les URLs en utilisant les moteurs <strong>de</strong> rechercheinternet, pour la même raison que précé<strong>de</strong>mment, ils sont inutiles dans cecas <strong>de</strong> figure du fait que les moteurs <strong>de</strong> recherche internet n'in<strong>de</strong>xent pasles pages privées. phishtank et googleSafeBrowsing <strong>de</strong>vraient êtredésactivés car ils recherchent <strong>de</strong>s sites <strong>de</strong> phishing, pour la même raison(Tu quoque, mi fili!).●“Vous testez une application web via internet, l'applicatif web est énorme etn'utilise ni co<strong>de</strong> macromedia flash, ni javascript.”Recommandation : “discovery all,!spi<strong>de</strong>rMan, !wordnet , !googleSets”.Raison: Spi<strong>de</strong>rman ne doit être utilisé uniquement quand webSpi<strong>de</strong>r ne peutpas trouver tous les liens. Les plugins wordnet et googleSets sont <strong>de</strong>uxplugins qui prennent du temps à s'exécuter via internet, il est doncjudicieux <strong>de</strong> les désactiver.●“Vous testez une application web via internet, l'applicatif web est énorme etcontient du co<strong>de</strong> macromedia flash ou javascript. Vous savez aussi quel'applicatif n'implémente pas <strong>de</strong> web services.”Recommandation : “discovery all, !wordnet , !googleSets, !wsdlFin<strong>de</strong>r”.Raison: Les plugins wordnet et googleSets sont <strong>de</strong>ux plugins qui prennentdu temps à s'exécuter via internet, il est donc judicieux <strong>de</strong> les désactiver.Pour ce qui est <strong>de</strong> wsdlFin<strong>de</strong>r; si nous savons déjà qu'aucun web servicesn'est implémenté, pourquoi en chercher?
Change language