Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 13/01/2023, à 14:56

abecidofugy

Tester la sécurité d’un site ou d’un serveur

Salut,

J’imagine bien que c’est  un boulot à part entière, et ne voudrais pas monopoliser trop de votre temps. Mais je voudrais tester plus à fond la sécurité d’un site, ou un serveur dédié.

Pour l’instant, nous avons un A+ avec notre site principal avec ce tool : https://www.ssllabs.com/ssltest/analyze.html

Est-ce suffisant pour imaginer être protégé de toutes les attaques les plus communes de sites toujours actualisé très rapidement en cas de publication de nouvelles mises à jour de module, avec une maîtrise des modules custom ?

Ou je pourrais lancer d’autres tests, et voir si je dois activer aussi l’une ou l’autre des fonctionnalités de mon CMS avec ce  module déjà installé : https://www.drupal.org/project/seckit ?

Ce n’est pas un site gouvernemental, cela dit lol

Merci et bonne journée.

Hors ligne

#2 Le 13/01/2023, à 17:20

Vobul

Re : Tester la sécurité d’un site ou d’un serveur

Salut,

Quelques autres outils qui peuvent t'aider :

https://observatory.mozilla.org/
https://cirt.net/Nikto2
Pour Drupal :
https://github.com/SamJoan/droopescan

Après tu as bien raison, c'est un boulot à part entière. Perso je paye un mec 5000€ pour un scan de mon application web.

Il y a aussi plein d'autres choses qui rentrent en jeu. Un reverse proxy, un waf, de la containerization avec les containers en read-only, une meilleure config php (plus stricte), des wiretrip, des scans réseau, etc... Le sujet est vaste.

Pour info, le A+ sur ssllabs c'est très bien mais pas très dur à avoir avec letsencrypt hein. Et ça ne parle que du certificat tls et des ciphers dispos, ça ne change vraiment pas grand chose à la "sécurité" de ton site la plupart du temps. L'observatory mozilla c'est déjà un peu plus intéressant, mais c'est pas un scan de headers de 6 secondes qui va être pertinant non plus.

Bref, si c'est pour le site que t'as en signature, je t'invite fortement à contacter un pro.

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 13/01/2023, à 20:01

Nuliel

Re : Tester la sécurité d’un site ou d’un serveur

Bonjour,
Je rajoute nuclei à la liste qui est assez récent mais très bien.

Bref, si c'est pour le site que t'as en signature, je t'invite fortement à contacter un pro.

+1!
Edit: je bosse dans le domaine de la cyber, et je confirme que c'est un métier à part entière big_smile

Dernière modification par Nuliel (Le 13/01/2023, à 20:56)

[ poster un retour de commande ] [ poster une photo ]

Hors ligne

Pages : 1