Nessus pour renforcer la sécurité de votre site Web
3 avril 2012
Nessus fait partie de la grande famille des scanners de vulnérabilités. Il s’exécute indifféremment sous Linux ou sous Windows. Hélas, il est sous licence propriétaire et est gratuit dans le cadre d’un usage « domestique ». Il existe un autre produit du même type en licence GPL, OpenVAS, que je ne connais pas. L’installation de Nessus sous Windows ne pose aucun type de problème particulier. Elle se réalise à partir d’une interface Web sur le port 8834, en mode SSL.
- Vous devez d’abord choisir une stratégie dans le menu Policies -> Add -> Plugins. Validez par Submit.
- Ensuite, vous devez lancer un scan à partir de Scans -> Add. Entrez l’adresse ip ou le nom de domaine qualifié (FQDN) de la machine à analyser dans Scan Targets. Choisissez la stratégie créée précédemment dans Policy. Cliquez alors sur le bouton Launch Scan.
- Le rapport complet est disponible à partir du menu Reports. Cliquez sur le bouton Download dès que Status sera à Completed.
Failles remontées sur mes serveurs
Pas grand chose à se mettre sous la dent à partir de mes serveurs ! J’avais omis de passer la directive TraceEnable à Off. Vous pouvez aussi le faire à partir du fichier .htaccess en ajoutant :
RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* – [F]
J’avais une autre faille du fait de l’oubli de la configuration de la directive ErrorDocument 400. Rien de bien méchant, à vrai dire !