Affichages
Sommaire |
Wikto
Description
Wikto est un outil d'analyse d'un site ou d'une application Web. Il permet de mettre en évidences des parties d'arborescence non indexées, ainsi que des faiblesses de paramétrage.
Installation
Compatibilité
Wikto n'est compatible pour le moment qu'avec Windows.
Pré-requis
Pour fonctionner, Wikto nécessite les pré-requis suivants :
- .Net framework
- SPUD API (SensePost Unified Data), téléchargeable ici : https://www.sensepost.com/restricted/spud_v1.0.0-1.zip (Vous devez au préalable vous enregistrer sur le site de SensePost)
Téléchargement et installation
L'installation de Wikto est disponible ici : https://www.sensepost.com/restricted/wikto_v2.1.0.0.zip
Interface
Scan Wizard
Cet assistant permet de paramétrer Wikto facilement. Il est possible de revenir ensuite sur la configuration dans l'onglet "SystemConfig". Les écrans proposés sont les suivants :
| Cet écran est juste un écran d'accueil. Cliquer sur "Next". |
| Cet écran permet de spécifier une adresse IP à scanner ainsi que le protocole à utiliser (HTTP ou HTTPS) et le port (80, 443, autre) |
| Cet écran permet de préciser si vous passez par un proxy, de démarrer l'API SPUD et de spécifier si l'algorithme de réduction des faux positifs doit être utilisé. |
| Cet écran rappelle les informations saisies |
| Cliquez sur "Finish" |
SystemConfig
Cet écran permet de modifier la configuration faite avec l'assistant (Wizard).
Spider
Cet écran permet d'afficher l'arborescence (partie visible de l'iceberg) d'un site ou d'une application Web, ainsi que la liste des liens vers l'extérieur.
Googler
Cette fonctionnalité permet de mettre en évidence, par une recherche Google, la présence de certaines extensions sur un site ou une application Web.
BackEnd
L'onglet "Spider" met en évidence la partie visible de l'iceberg, alors que l'onglet "BackEnd" permet de mettre en évidence la partie masquée. La technique est simple : il s'agit du brute force sur base de dictionnaires, afin de découvrir des répertoires et des fichiers non indexés par les moteurs de recherche.
Wikto
Cet onglet permet de faire apparaître plus spécifiquement des répertoires ou des pages correspondants à des parties documentaires ou d'administration d'un site ou d'une application. Cette fonctionnalité peut mettre en évidences certaines faiblesses d'une application.
GoogleHacks
Cette fonctionnalité permet d'exploiter le base de données GHDB (GoogleHacks DataBase) mise à disposition par Johnny Long afin de mettre en évidences certaines faiblesses d'une application (fichiers de configuration, mots de passe, dossiers de backups, etc.) par des filtres Google.
