samedi 4 avril 2009

Utiliser FoxyProxy pour tester la sécurité d'un site web


Avec la popularité grandissante du web et des attaques qui y sont associées, plusieurs outils sont rendus disponibles. Un type d'outil fort utile est les proxy spécialisés, par exemple WebScarab, Burp Suite, Paros. Ces proxy permettent de modifier les requêtes envoyées au serveur afin de trouver des failles.

Pour les utiliser, il faut configurer son navigateur pour utiliser un proxy. Avec Firefox, il devient rapidement lassant d'aller dans le menu pour éditer manuellement la configuration chaque fois qu'on veut activer/désactiver le proxy. Une solution élégante : utiliser FoxyProxy. FoxyProxy est un addon qui vous permet de configurer plusieurs proxy et de les activer en appuyant sur un simple bouton.

Mais encore mieux, vous pouvez définir des règles pour déterminer quel proxy utiliser. Pour activer un proxy uniquement pour les connexions locales, on ajoute par exemple la règle suivante :
http*://127.0.0.1/*
De cette façon, seules les requêtes pertinentes sont interceptées. Évidemment, il est préférable d'utiliser un profil séparé pour faire ce genre de tests, mais si vous êtes comme moi vous faites surement une vingtaine de choses en même temps et pouvoir ségréger le trafic de cette façon se révèle vraiment utile.