SensePost Wikto

From aldeid
Jump to: navigation, search
Translation.png
This article needs to be translated
This article has been copied from the old wiki and is in french. It needs to be translated into english. If you wish to participate, please send a mail to (click to reveal email)

Wikto

Description

Wikto est un outil d'analyse d'un site ou d'une application Web. Il permet de mettre en évidences des parties d'arborescence non indexées, ainsi que des faiblesses de paramétrage.

Installation

Compatibilité

Wikto n'est compatible pour le moment qu'avec Windows.

Pré-requis

Pour fonctionner, Wikto nécessite les pré-requis suivants :

Téléchargement et installation

L'installation de Wikto est disponible ici : https://www.sensepost.com/restricted/wikto_v2.1.0.0.zip

Interface

Scan Wizard

Cet assistant permet de paramétrer Wikto facilement. Il est possible de revenir ensuite sur la configuration dans l'onglet "SystemConfig". Les écrans proposés sont les suivants :

Wikto-wizard 1.png Cet écran est juste un écran d'accueil. Cliquer sur "Next".
Wikto-wizard 2.png Cet écran permet de spécifier une adresse IP à scanner ainsi que le protocole à utiliser (HTTP ou HTTPS) et le port (80, 443, autre)
Wikto-wizard 3.png Cet écran permet de préciser si vous passez par un proxy, de démarrer l'API SPUD et de spécifier si l'algorithme de réduction des faux positifs doit être utilisé.
Wikto-wizard 4.png Cet écran rappelle les informations saisies
Wikto-wizard 5.png Cliquez sur "Finish"

SystemConfig

Cet écran permet de modifier la configuration faite avec l'assistant (Wizard).

Spider

Cet écran permet d'afficher l'arborescence (partie visible de l'iceberg) d'un site ou d'une application Web, ainsi que la liste des liens vers l'extérieur.

Wikto-spider 1.png

Googler

Cette fonctionnalité permet de mettre en évidence, par une recherche Google, la présence de certaines extensions sur un site ou une application Web.

Wikto-googler 1.png

BackEnd

L'onglet "Spider" met en évidence la partie visible de l'iceberg, alors que l'onglet "BackEnd" permet de mettre en évidence la partie masquée. La technique est simple : il s'agit du brute force sur base de dictionnaires, afin de découvrir des répertoires et des fichiers non indexés par les moteurs de recherche.

Wikto-backend 1.png

Wikto

Cet onglet permet de faire apparaître plus spécifiquement des répertoires ou des pages correspondants à des parties documentaires ou d'administration d'un site ou d'une application. Cette fonctionnalité peut mettre en évidences certaines faiblesses d'une application.

Wikto-wikto 1.png

GoogleHacks

Cette fonctionnalité permet d'exploiter le base de données GHDB (GoogleHacks DataBase) mise à disposition par Johnny Long afin de mettre en évidences certaines faiblesses d'une application (fichiers de configuration, mots de passe, dossiers de backups, etc.) par des filtres Google.

Wikto-googlehacks 1.png