Link Search Menu Expand Document

Ajouter une cible réseau ou un site web

  1. Cliquer sur Gestion des actifs > Cibles réseau et sites web
  2. Cliquer sur le bouton Ajouter
  3. Compléter le formulaire.

    • « Nœud » correspond au nœud depuis lequel lancer les analyses ;
    • « Cible » correspond à la cible réseau ou au site web à analyser ; vous pouvez indiquer une cible réseau sous la forme d’un nom de domaine ou d’une adresse IP, ou un site web sous la forme d’une URL ; dans les deux cas, un scan de port est effectué sur la cible ainsi qu’une reconnaissance des services utilisés afin de déterminer les versions des services exposés.
  4. Valider en cliquant sur « Sauvegarder »

Configurer les paramètres de scan

Certains paramètres avancées sont configurable par politique d’analyse, dont la durée maximum de scan web et la durée maximum de parcours web. Il faut pour cela se rendre dans Réglages > Politique d’analyses, et éditer les politiques des cibles et sites webs concernés. Les paramètres de scan se trouvent dans la section « Paramètres avancés ».

Scans web authentifiés

Lors de l’ajout ou de l’édition d’une cible réseau, il est possible de spécifier un jeu d’identifiants et une méthode d’authentification. Ces paramètres ne s’appliquent que quand la cible est un site web, ou au moins à un port HTTP ouvert.

Afin d’activer l’authentification, il est nécessaire de créer préalablement un jeu d’identifiants de type Scan web depuis le menu Identifiants enregistrés.

Les méthodes d’authentification correspondent aux types supportés par l’en-tête HTTP Authorization, à l’exception de la méthode post qui simule un utilisateur qui entre ses identifiants dans un formulaire de connexion. L’URL du formulaire de connexion ne s’applique qu’à la méthode post.

Produits supportés par les cibles réseau ou site web

Cyberwatch supporte toute adresse IP, comme tout URL ou nom de domaine valide et résolu.

Dans l’ensemble des cas, Cyberwatch vérifie quels ports sont ouverts parmi les 3000 ports les plus couramment utilisés. Sur les ports ouverts, deux stratégies d’analyse sont utilisées.

  • Un scan passif, qui détecte les versions des services exposés sur chaque port de la cible, et identifie les vulnérabilités qui y sont associées. Lorsqu’il s’agit d’un port web, un scan supplémentaire permettant d’identifier des défauts de configuration issus du top 10 OWASP est aussi exécuté. Ce dernier couvre entre autres les défauts de configuration au sein des headers, et identifie les librairies utilisées.

  • Un scan actif, qui est un examen plus approfondi en fonction des spécificités de chaque port. Si le port supporte le TLS, un audit TLS est effectué afin d’identifier si des suites cryptographiques faibles sont acceptées, l’utilisation de protocoles dépréciés ou une invalidité du certificat. Si le port répond aux requêtes http/https, Cyberwatch effectue un second scan dont le but est d’identifier d’autres défauts de configuration issus du top 10 OWASP, comme par exemple la possibilité d’effectuer des injections XSS/SQL…