ZAP le scanner qui révèle tout ce que les sites web cachent

Avec cet outil personne n’est à l’abri

Vous voyez ce petit cadenas vert à côté de l’URL de votre banque ?
Ce HTTPS qui vous donne l’impression d’être en sécurité ?

Oubliez ça.

Derrière cette façade rassurante, des outils comme OWASP ZAP permettent de scanner les sites web comme on fouille une poubelle en deux clics, on y trouve des failles CORS mal configurées, des injections SQL, des fuites de données, et même des portes dérobées laissées par des développeurs qui croyaient avoir tout verrouillé.
ZAP c’est l’équivalent numérique d’une clé passe-partout.

Vous ciblé un site, vous lancez un scan le logiciel vous liste toutes les vulnérabilités comme un menu à la carte.

Un café et vous voila en train de jouer aux espions avec les données des autres.

Avec ZAP, vous pouvez faire des miracles ou des catastrophes.
Imaginez un instant que vous puissiez intercepter tout ce qui transite entre un utilisateur et un site.

ZAP excelle dans l’art de trouver des fichiers oubliés des sauvegardes de bases de données, des fichiers de configuration remplis de mots de passe en clair ou des répertoires administratifs laissés grands ouverts.

C’est comme si qu'on vous donnait la clé de la chambre fort et que personne ne s’en rendait compte.
Mais le plus beau, c’est quand ZAP tombe sur une faille CORS.

En théorie, cette technologie permet à deux sites de communiquer de manière sécurisée.

En pratique, si elle est mal configurée, ZAP peut voler vos cookies, vos jetons d’authentification, et même détourner votre session.

Un attaquant peut littéralement prendre le contrôle à distance, comme s’il avait votre téléphone entre les mains.

Webhook + Netlify le piège parfait pour aspirer des données sans laisser de traces
Un webhook, c’est un peu comme une boîte aux lettres intelligente.

Dès qu’un événement se produit sur un site une inscription, un paiement, une connexion, les données sont automatiquement envoyées vers une URL de votre choix.

Et c’est là que les choses deviennent intéressantes.

Vous créez un faux site sur Netlify ou n’importe quel hébergeur gratuit.

Rien de suspect une page en maintenance, un faux formulaire ou un projet open-source bidon.
Vous configurez un webhook avec le lien de la cible vulnérable à la faille CORS pour qu’il redirige les données vers votre page.

Vous attendez.

Les données arrivent toutes seules emails, mots de passe, tokens d’accès, historiques de navigation.

Comme un pêcheur qui laisse son filet dans l’eau et revient le lendemain pour récolter sa prise.

Autre exemple vous pensiez que l’IRC était mort et enterré ?

Détrompez-vous.

Certains serveurs IRC traînent encore dans les recoins du web, utilisés par des communautés underground, des botnet ou des entreprises qui n’ont pas mis à jour leurs outils depuis l’an 2000.

L’IRC est un angle mort ces vieux serveurs sont oubliés, donc personne ne les sécurise.

Il suffit de sniffer les canaux pour récupérer les mots de passe.
Il est possible d'écouter les conversations, c’est comme avoir un micro dans leur repaire.

Vous pouvez également inondez un canal de messages pour submerger le service de requêtes.

Les développeurs sous-estiment ZAP beaucoup croient que seul Burp Suite est dangereux.

ZAP est tout aussi puissant, et bien plus accessible.