[RÉSOLU] Scanneur de vulnérabilités Web
Je viens de tester Wapiti, un scanneur de vulnérabilités Web, sur l’un de mes sites.
Le scanneur générant des attaques, je me demandais quand même si ça ne posait pas de problèmes et si c’était autorisé sur FSH.
Merci d’avance,
Tant que ça respecte la loi et que l'adresse IP qui lance cette analyse de vulnérabilités Web ne se fait pas repérer/temporiser/bloquer par mes protections ... ce n'est pas spécifiquement interdit mais ce n'est vraiment pas conseillé de le faire sur Internet.
Lors de l'utilisation d'un système de recherche de failles, il est préférable de le faire sur son propre ordinateur afin de :
- Bénéficier d'un réseau local (donc forcement plus rapide qu'en passant par Internet),
- Éviter toutes protections réseau qui pourraient s'activer automatiquement et qui pourraient masquer une éventuelle faille en voulant protéger le site attaqué,
- Écarter un éventuel problème juridique.
" Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende." Article 323-1 du Code pénal.
Bien sûr, on pense tout de suite que lorsque l'on teste son propre site Internet, cet article de loi ne nous concerne pas, mais c'est prendre un trop grand risque car les dommages collatéraux sont toujours possibles.
Enfin, j'ai déjà vu des "analyseurs de failles" qui s'apparentaient beaucoup plus à des systèmes d'attaques par déni de service en mode bourrin ... ce qui n'est pas un système destiné à identifier et corriger une faille.
En vérité, je n’avais pas songé un seul instant à passer par http://localhost . C’est chose faite!
Bonne continuation,