La boite à outils pour analyser la sécurité de votre application web
J'ai rassemblé divers outils permettant d'analyser la sécurité d'une application web ou d'un site internet. Si vous avez des suggestions de liens à partager avec nous pour tester votre propre site ou application en matière de sécurité.
Secure headers
Le service "Secure Headers" permet de vérifier que le site a des en-têtes sécurisés pour empêcher les navigateurs de fonctionner à partir de vulnérabilités inévitables.
Par exemple, le header "Strict-Transport-Security" s'assure que les communications sont bien en HTTPS entre votre navigateur et le serveur web.
HTTP Header Checker
Le service "HTTP Header Checker" permet de tester et d'afficher les informations des en-têtes d'un site internet.
HSTS Test
Le service "HSTS Test" permet de vérifier l'activation de la directive HSTS. La directive permet au navigateur de précharger le contenu uniquement en HTTPS.
X-Content-Type-Options Header Test
Le service "X-Content-Type-Options Header Test" permet de vérifier la protection contre les vulnérabilités des scripts dans l'entête d'une réponse HTTP.
CSP Test
Le service "CSP Test" permet de vérifier si le site internet peut se défendre contre l'injection de code en utilisant l'entête CSP.
Mixed Content Checker
Le service "Mixed Content Checker" permet de vérifier si il n'y a pas de chargement de requête HTTP à la place de HTTPS.
JS Vulnerability Scanner
Le service "JS Vulnerability Scanner" permet de tester les vulnérabilités de sécurité Javascript les plus connues sur le site internet.
Certificate Checker
Le service "Certificate Checker" permet de décoder un certificat SSL au format PEM.
SSL Freak Test
Le service "SSL Freak Test" permet de tester un nom de domaine contre les attaques SSL Freak.
Une attaque SSL Freak est un faille qui permet aux attaquants d'intercepter les connexions HTTPS entre les clients et les serveurs vulnérables et de les forcer à utiliser un chiffrement, qui peut ensuite être déchiffré ou modifié.
TLS Test
Le protocole TLS (Transport Layer Security) permet d'assurer l'authentification, l'intégrité et la confidentialité des données entre une application (serveur) et l'utilisateur (navigateur).
Le service "TLS Test" permet de vérifier que les protocoles TLS de 1.0 à 1.3 sont activés.
TLS Scanner
Le service "TLS Scanner" permet de tester les vulnérabilités du protocole TLS du site internet.
X-Frame-Options Test
Le service "X-Frame-Options Test" permet de tester si le site internet peut se défendre contre les attaques de clickjacking.
Le clickjacking est une attaque d'un site malveillant qui piège un utilisateur pour qu'il clique sur un élément caché d'un autre site dans une iframe ou un cadre caché de votre site internet.
Cross-Domain-Policy Test
Le service "Cross-Domain-Policy Test" permet de vérifier si il y a une politique de stratégie entre les noms de domaines. Elle permet de bloquer ou non certains domaines qui chargent des informations de votre site internet.
Referrer-Policy Test
Le service "Referrer-Policy Test" permet de vérifier les informations annoncés dans l'entête de réponse HTTP.
Secure Cookie Test
Le service "Secure Cookie Test" permet de vérifier que HTTPOnly et Secure sont activés dans les cookies.
Server Signature Test
Le service "Server Signature Test" permet de vérifier si le site divulgue des informations de version via l'en-tête Server ou X-Powered-By
SPF Record Lookup
Le service "SPF Record Lookup" permet de vérifier si le nom de domaine contient une liste de serveur de messagerie électronique autorisé qui peuvent envoyer des mails.
DNSSEC Test
Le service "DNSSEC Test" permet de vérifier si le DNSSEC est activé sur le nom de domaine. Le DNSSEC permet de rajouter une couche de sécrutié cryptographique poiur garantie que les requetges DNS sont traités par les bons DNS et qui ne sont pas falsifiés en cours de route.
Blacklist Lookup
Le service "Blacklist Lookup" permet vérifier si le site internet est sûr pour les paramètres de navigation Google.
Wordpress
WPScan
L'outil WPScan CLI est un scanner de sécurité WordPress gratuit, à usage non commercial, conçu pour les professionnels de la sécurité et les responsables de blogs afin de tester la sécurité de leurs sites.
WPSec
Analyse de sécurité WordPress en ligne pour détecter et signaler les vulnérabilités de WordPress.
Malwares
VirusTotal
Analysez les fichiers, domaines, adresses IP et URL suspects pour détecter les logiciels malveillants et autres violations.
Sucuri SiteCheck scanner
Sucuri SiteCheck scanner vérifie les sites pour détecter les logiciels malveillants connus, les virus, l'état de la liste noire, les erreurs, les logiciels obsolètes et les codes malveillants.