Google lance RatProxy, un détecteur de failles Web

WRInaute occasionnel
Bonjour,

Effectivement ça l'air interessant mais encore faut-il savoir le faire fonctionné :oops:

une fois compilé et executé sur un domaine en local j'ai :

Code:
ratproxy version 1.51-beta by <lcamtuf@google.com>
[*] Proxy configured successfully. Have fun, and please do not be evil.
[+] Accepting connections on port 8080/tcp (local only)...

le script me créé bien mon répertoire et fichier de log ... mais ils restent vides ... et je suis obligé d'arreter sauvagement le script :?

Quelqu'un a t-il déjà essayé et réussit à exploiter ce script ?
 
WRInaute occasionnel
BadProcESs a dit:
Je pense qu'il faut que tu configure ton navigateur pour qu'il utilise le proxy (localhost:8080) ;)

+1 j'ai voulu essayé trop vite :wink:

C'est pas mal on peut également exporter les logs en html et je m'aperçoit donc que mes png ne renvoient pas des headers corrects :

Code:
PNG images with no Content-Disposition: attachment header. In Internet Explorer 6, this may trigger content sniffing and potentially lead to cross-site scripting flaws if the image is user-supplied.

GET http://www.domain.local:80/images/image1.png ⇒ 200 [view trace]
Response (76609): ‰PNG\r\n\x1a\n
MIME type: image/png, detected: image/png, charset: -

pourtant dans mon fichier d'apache mime.types j'ai bien la ligne :

Code:
image/png png

une idée ?
 
Discussions similaires
Haut