Voici ici une liste d’outils utiles, qu’il est bon d’avoir sous la main. Cette liste est reprise sur les sites de nexen.net, http://www.nexen.net/securite/outils.php, et de PHPortail.net, http://www.phportail.net/annuaire/20-securite.php.

PHP et MySQL

Suhosin

 www.hardened-php.net/suhosin (212 visites)
Suhosin est un patch de sécurité avancé pour PHP, qui permet de protéger la plate-forme contre des vulnérabilités connues et inconnues. Il propose des directives de configuration supplémentaires plus précises, des listes blanches et noires pour les inclusions de code, des protections supplémentaires pour mail(), header() et preg_replace(), le chiffrement transparent des cookies et des sessions, des enregistrements en logs.

Phpsecinfo

 phpsec.org/projects/phpsecinfo (223 visites)
Une classe PHP qui analyse la configuration de PHP, et indique immédiatement les points qui méritent d’être étudiés voire modifiés, pour suivre les recommandations du groupe PHP. Cet outil permet d’identifier les erreurs les plus courantes en configuration, et d’éduquer les utilisateurs à une gestion responsable des directives.

Outils de filtrages

SafeSQL

 www.phpinsider.com/php/code/SafeSQL (199 visites)
Une classe PHP qui se charge de nettoyer les données qui iront dans une requête SQL contre les injections et autres malformations que peuvent traîner avec elles des données utilisateurs. Essentiellement testés avec MySQL et ANSI SQL.

sql_inject

 www.phpclasses.org/browse/package (182 visites)
Une classe PHP qui analyse les valeurs qui sont destinées aux requêtes SQL, avant qu’elles ne compromettent le serveur.

PHP_validation

 www.benjaminkeen.com/software/php_validation (337 visites)
Une petite bibliothèque de validation, avec un grand nombre de contraintes et de formats.

PEAR Validate

 pear.php.net/package (252 visites)
Les classes de validation dans la bibliothèque PEAR de PHP. Les classes sont disponibles pays par pays. Une classe générale répond aux problèmes de filtrage les plus courants : nombres, adresse mail, URI, dates, etc.

Robots de tests

Rats

 www.securesoftware.com/resources (238 visites)
RATS : Rough Auditing Tool for Security. C’est un outil à code ouvert qui analyse le code PHP ainsi que C/C++, Python et Perl, à la recherche de vulnerabilités potentielles ou avérée.

Nikto

 www.cirt.net/code (246 visites)
Nikto teste une application web depuis le web : le robot teste sur le site de nombreuses vulnérabilités identifiées dans les sites de vulnérabilités, afin de les repérer et d’éviter d’être victime des problèmes les plus courants. Les bases de Nikto incluent un grand nombre de vulnérabilités d’applications PHP.

Fierce Domain Scan

 ha.ckers.org/fierce (178 visites)
Fierce est un auditeur de sécurité web. Il est notamment capable de tester des domaines qui ne sont pas continus. Il est constitué pour analyser un domaine, et pour identifier des sites qui sont des cibles potentielles pour une attaque web. Fierce est un outil de reconnaissance.

Burp

 portswigger.net/suite (128 visites)
Burp est une suite d’applications qui collaborent pour tester une application web de manière systématique : le proxy enregistre vos visites sur le site, puis le spider passe en revue tout le site, et le repeater exécute à nouveaux les mêmes opérations. Enfin, l’intruder facilite la mise en place d’attaques.

Chorizo

 www.chorizon-scanner.com (104 visites)
Chorizo-scanner est un proxy qui se met en place entre votre application et votre navigateur : au fur et à mesure de votre navigation, il teste les différentes pages avec de nombreuses valeurs pour identifier un maximum de vulnérabilités. Chorizo est un service payant et fonctionne en intranet.

Beef tool

 www.bindshell.net/tools/beef (151 visites)
Beeftool est un utilitaire qui améliore les possibilités d’exploitation de XSS. Alors qu’il est souvent simple d’exploiter une vulnérabilité pour seulement faire apparaître une alerte javascript ‘XSS’, beeftool permet de prendre effectivement contrôle du navigateur à distance.

Honey Pot PHP

 www.rstack.org/phphop (117 visites)
Un projet de pot de miel en PHP, destiné à attirer les pirates pour mieux les identifier et s’en protéger.

Actualité

Ilia Alshanetsky

 www.ilia.ws (166 visites)
Le blogue d’Ilia Alshanetsky, un pilier du groupe PHP, avec un regard particulier sur les aspects sécuritaires et performances de PHP. Ilia est un responsable des publications de PHP et de l’assurance qualité.

Chris Shiflett

 www.shiflett.org (487 visites)
Le blogue de Chris Shiflett, l’un des experts PHP les plus connus.

Stefan Esser

 blog.php-security.org (126 visites)
L’un des experts de la sécurité PHP les plus agressifs sur le marché. On lui doit de nombreuses découvertes de vulnérabilités, en PHP comme pour d’autres applications web.
Stefan Esser propose notamment Suhoshin, un patch pour PHP qui apporte des compléments de sécurité.

Php Secure.info

 www.phpsecure.info/v2 (320 visites)
Un site qui recense les vulnérabilités PHP dans les différentes applications, tels que publiés sur les principaux sites de vulnérabilités. On trouve aussi quelques articles sur la sécurité, en français.

Le Consortium de sécurité PHP

 phpsec.org (155 visites)
Un site web dédié à la sécurité PHP. Des articles de fond, des projets consacrés à la sécurité.

Documentation PHP sur la sécurité

 www.php.net/manual/fr (153 visites)
Le chapitre sécurité de la documentation PHP, traduit en français

Secure PHP Wiki

 www.securephpwiki.com (150 visites)
Un wiki consacré à la sécurité PHP. Beaucoup d’explications de fond sur les mécanismes d’attaque et de défense des applications PHP contre les menaces du web.

Nexen.net

 www.phportail.net/annuaire (184 visites)
Le portail PHP et MySQL, avec de nombreuses informations consacrés à la sécurité :

• Alertes de sécurité : dépêche qui paraît tous les samedis, avec la liste des alertes sécurité les plus importantes de la semaine.
• Le coin de la sécurité : dossier mensuel sur les pratiques de la sécurité en PHP, écrits par Ilia Alshanetsky et Chris Shiflett, et traduits en français.
• Lettre hebdomadaire PHP et MySQL : la lettre hebdomadaire de nexen.net est publiée en flash à chaque fois qu’une nouvelle version de PHP ou MySQL est publiée. C’est un excellent moyen d’être immédiatement tenu au courant des changements de versions des plates-formes.

PHPortail.net

 www.phportail.net/annuaire (184 visites)
PHPortail propose des aides, tutoriaux, cours, forums, news sur le PHP, afin de vous faire découvrir ce langage, ou de vous perfectionner. PHPortail propose aussi des alertes sécurité et un annuaire d'outils.
 www.phportail.net/annuaire (184 visites)

Documentation MySQL sur la sécurité

 www.securiteam.com/tools (140 visites)
Le chapitre sécurité de la documentation MySQL, traduit en français

MySQL Network Scanner

 www.sqlhack.com (137 visites)
Un outil qui scanne tout un réseau à la recherche de base de données MySQL mal sécurisée.

SQLHack

 ha.ckers.org (149 visites)
Un prototype pour casser les mots de passe MySQL dans les vieilles versions 4.0 et plus anciens.

Ha.ckers.org

 jeremiahgrossman.blogspot.com (276 visites)
Le blogue de RSnake, avec de nombreuses dépêches dans le domaine de la sécurité des applications web. Les concepts et les prototypes de sont pas reliés directement à PHP, mais sont parfaitement utilisables. À noter notamment une excellente liste d’exemple d’injections XSS qui fonctionnent, et qui pourraient passer outre de nombreux filtres.

Jeremiah Grossman

 www.0x000000.com (127 visites)
Le blogue de Jeremiah Grossman, souvent relié bilatéralement avec celui de Rsnake. On y trouve notamment une collection des hack de 2006, avec les inventions de l’année en termes de trucs d’attaques.

Jungsons studios

 www.owasp.org (95 visites)
Le blogue de Jungsonn, consacré à la sécurité des applications web.

OWASP

 www.securityfocus.com (121 visites)
Le site de Open web Application Security Project, consacrée à la sécurité des applications web. Le site est une mine d’informations

Les sites de vulnérabilités

• Securityfocus :  www.secunia.com (91 visites)
• Secunia :  www.frsirt.com (85 visites)
• FrSIRT :  cve.mitre.org (223 visites)
• Mitre :  www.osvdb.org (598 visites)
• OSVDB :  www.sans.org/top20 (97 visites)

Sans.org

 www.cgisecurity.com (150 visites)
Le top 20 des menaces de sécurité pour les ordinateurs pour l’année en cours.

CGI security

 www.cgisecurity.com/articles (181 visites)
Actualité de la sécurité des applications web. A noter plusieurs foires aux questions sur la sécurité, sur différentes attaques et méthodes de défenses à mettre en place.
 www.webappsec.org (512 visites)

web Application Security Consortium

 gdataonline.com (146 visites)
WASC (web Application Security Consortium) est un group d'experts internationaux, qui se sont fédérés pour produire une démarche Open Source de sécurité sur le web. Le site propose différents projets et des articles de fond la sécurité.

Bases de données de MD5

 md5.benramsey.com (180 visites)
C'est une base de données de hash MD5. Elle sait résoudre les signatures les plus courantes, à partir des mots qui ont été inséré dans la base. C’est un bon point de départ pour vérifier la robustesse d’un mot de passé. Évidemment, une fois que vous aurez testé un mot de passe dans cette base, il sera enregistré, et facile à retrouver via cette même base…
 chrispederick.com/work/webdeveloper (98 visites)
Cette seconde base de données sert de point d'entrée pour plusieurs autres bases du même genre : à partir d'une signature, elle les interroge tous.

Firefox web developper Tools

 www.laszlo.com.pl/webdev (217 visites)
Cette extension de FireFox/ Mozilla / Flock fournit un ensemble de menus complémentaires au navigateur, et permet d’analyser une page web, tant qu niveau du contenu que de la forme. En termes de sécurité, il est possible de voir et modifier les cookies, de lire les en-têtes HTTP échangés, de modifier la signature du navigateur, ou encore de convertir tous les champs d’un formulaire en champ texte. Cette extension est un outil incontournable pour les webmestres et les développeurs.

Safari WebDev Tools

 www.google.com (109 visites)
Une barre d’outils développeurs web pour Safari.

Google Code Search

 www.koders.com (108 visites)
Le fameux moteur de recherche a indexé des centaines de projets Open Source, y compris nombre de projets PHP. Si vous recherchez des exemples d’utilisations de fonctions PHP ou MySQL, ou encore des failles de sécurité, ce moteur vous permettra de fouiller rapidement, et avec des expressions rationnelles.

Koders

 ha.ckers.org (149 visites)
Un autre moteur de recherche consacré au code. Koders effectue des recherches dans de nombreux dépôts de code. Il n’a pas reçu l’attention médiatique du Code Search de Google, mais est bien plus ancien.

Anti-sèche XSS

 jeremiahgrossman.blogspot.com (276 visites)
La liste la plus complète de formes de XSS, comprenant toutes les variations de représentation de caractères, les astuces de balises et d’attributs.

Injections SQL

 pixelated-dreams.com/uploads/misc/cheatsheets (126 visites)
La liste des types d’injections SQL possibles, par Ronald van den Heetkamp. La liste est très complète.

Filtrages et protections PHP

 proxy.11a.nu/CheatSheets (339 visites)
" Filtering and Escaping Cheat sheet " : par Davey Shafik. Un fichier PDF à télécharger avec les différentes fonctions de protections disponibles pour HTML, XML, SQL et commandes Shell.

web Application Cheat Sheet

 www.petefreitag.com/item (233 visites)
Une liste pense-bête de questions à se poser pour réaliser un audit de sécurité, ou bien s’assurer que son application web est sécuritaire.

Apache security cheat-sheet

Une liste de sécurité pour Apache.