Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 13/01/2023, à 14:56

abecidofugy

Tester la sécurité d’un site ou d’un serveur

Salut,

J’imagine bien que c’est  un boulot à part entière, et ne voudrais pas monopoliser trop de votre temps. Mais je voudrais tester plus à fond la sécurité d’un site, ou un serveur dédié.

Pour l’instant, nous avons un A+ avec notre site principal avec ce tool : https://www.ssllabs.com/ssltest/analyze.html

Est-ce suffisant pour imaginer être protégé de toutes les attaques les plus communes de sites toujours actualisé très rapidement en cas de publication de nouvelles mises à jour de module, avec une maîtrise des modules custom ?

Ou je pourrais lancer d’autres tests, et voir si je dois activer aussi l’une ou l’autre des fonctionnalités de mon CMS avec ce  module déjà installé : https://www.drupal.org/project/seckit ?

Ce n’est pas un site gouvernemental, cela dit lol

Merci et bonne journée.

De retour de l’hôpital, ma vie, mon œuvre.
Kubuntu 25.04 PC2 et portable et KDE neon pour la curiosité sur Virtualbox dans un Win11

Hors ligne

#2 Le 13/01/2023, à 17:20

Vobul

Re : Tester la sécurité d’un site ou d’un serveur

Salut,

Quelques autres outils qui peuvent t'aider :

https://observatory.mozilla.org/
https://cirt.net/Nikto2
Pour Drupal :
https://github.com/SamJoan/droopescan

Après tu as bien raison, c'est un boulot à part entière. Perso je paye un mec 5000€ pour un scan de mon application web.

Il y a aussi plein d'autres choses qui rentrent en jeu. Un reverse proxy, un waf, de la containerization avec les containers en read-only, une meilleure config php (plus stricte), des wiretrip, des scans réseau, etc... Le sujet est vaste.

Pour info, le A+ sur ssllabs c'est très bien mais pas très dur à avoir avec letsencrypt hein. Et ça ne parle que du certificat tls et des ciphers dispos, ça ne change vraiment pas grand chose à la "sécurité" de ton site la plupart du temps. L'observatory mozilla c'est déjà un peu plus intéressant, mais c'est pas un scan de headers de 6 secondes qui va être pertinant non plus.

Bref, si c'est pour le site que t'as en signature, je t'invite fortement à contacter un pro.

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 13/01/2023, à 20:01

Nuliel

Re : Tester la sécurité d’un site ou d’un serveur

Bonjour,
Je rajoute nuclei à la liste qui est assez récent mais très bien.

Bref, si c'est pour le site que t'as en signature, je t'invite fortement à contacter un pro.

+1!
Edit: je bosse dans le domaine de la cyber, et je confirme que c'est un métier à part entière big_smile

Dernière modification par Nuliel (Le 13/01/2023, à 20:56)

[ poster un retour de commande ] [ poster une photo ]

Hors ligne

Pages : 1