🧰 Tools

Introduction

Cette section présente une sélection d’outils de sécurité offensive, principalement en tests d’intrusion Web.

⚠️ Attention: Il est fortement recommandé de privilégier, lorsque cela est possible, des outils exécutés en local, afin de limiter tout risque de fuite de données sensibles vers des services tiers.

🌐 Web Pentest

PortSwigger - Burp Suite - Outil de référence en tests d’intrusion Web. Permet l’interception, la manipulation et l’automatisation des requêtes HTTP(S). Disponible en version Community (gratuite) et Professional.

- GraphQuail - Extension pour Burp Suite facilitant l’analyse et l’exploitation de GraphQL, utile pour identifier des schémas, requêtes et vulnérabilités spécifiques.

- Flask Session Cookie Decoder - Outil permettant de décoder et analyser les cookies de session Flask.

🔐 JWT

- JWT.io - Plateforme de manipulation et d’analyse de JSON Web Tokens (décodage, signature, algorithmes).

🔑 Cryptographie & Encodage

- CyberChef - Outil polyvalent de transformation de données (encodage, chiffrement, parsing).

- PyCryptoDome - Bibliothèque cryptographique de référence en Python.

- DCode - Plateforme en ligne proposant une large gamme d’outils cryptographiques, mathématiques et de décodage.

🔎 Reconnaissance & Analyse Web

- Wappalyzer Outil d’identification des technologies Web (frameworks, serveurs, CMS).

- RevShells - Générateur de reverse shells multi-langages.

🛡️ CSP & Sécurité Navigateur

- CSP Validator - Analyse et validation de Content Security Policies, avec détection de configurations faibles.

🛡️ - CSP Evaluator - Outil complémentaire pour évaluer la robustesse des CSP et identifier des possibilités de contournement.

🌍 Réseau & Infrastructure

- DNS rebinder - Serveur DNS minimaliste permettant de tester des vulnérabilités de type DNS Rebinding. Exécutable localement en Python.

🗂️ Git & Exposition de code source

- Git Tools - Suite d’outils facilitant l’extraction de dépôts .git exposés et la reconstruction du code source.

- Git Vuln Finder - Analyse les messages de commit afin d’identifier des correctifs liés à des vulnérabilités connues.

🐚 WebShells & Payloads

- WebShell -Dépôt exhaustif de web shells multi-langages à des fins de recherche et de compréhension offensive.

- htshells - Collection de payloads exploitant les fichiers .htaccess pour des scénarios avancés.

🧠 JavaScript & Frontend

- deobfuscate.io - Déobfuscation JavaScript en ligne.

- De4JS - Outil de déobfuscation et d’unpacking JavaScript, couvrant de nombreux packers connus.

- Source Map Parser - Extraction des fichiers sources à partir de JavaScript Source Maps exposées.

🧪 Divers & Utilitaires

DIRB - Outil classique de brute-force de répertoires et fichiers Web.

🧮 FactorDB - Base de données communautaire de factorisation de nombres, utile pour les exercices et challenges cryptographiques.

- Pipedream - RequestBin - Création rapide d’endpoints HTTP pour tester des flux, webhooks ou exfiltrations contrôlées.