This article needs to be translated

This article has been copied from the old wiki and is in french. It needs to be translated into english. If you wish to participate, please send a mail to (click to reveal email)

Wikto

Description

Wikto est un outil d'analyse d'un site ou d'une application Web. Il permet de mettre en évidences des parties d'arborescence non indexées, ainsi que des faiblesses de paramétrage.

Installation

Compatibilité

Wikto n'est compatible pour le moment qu'avec Windows.

Pré-requis

Pour fonctionner, Wikto nécessite les pré-requis suivants :

• .Net framework
• SPUD API (SensePost Unified Data), téléchargeable ici : https://www.sensepost.com/restricted/spud_v1.0.0-1.zip (Vous devez au préalable vous enregistrer sur le site de SensePost)

Téléchargement et installation

L'installation de Wikto est disponible ici : https://www.sensepost.com/restricted/wikto_v2.1.0.0.zip

Interface

Scan Wizard

Cet assistant permet de paramétrer Wikto facilement. Il est possible de revenir ensuite sur la configuration dans l'onglet "SystemConfig". Les écrans proposés sont les suivants :

	Cet écran est juste un écran d'accueil. Cliquer sur "Next".
	Cet écran permet de spécifier une adresse IP à scanner ainsi que le protocole à utiliser (HTTP ou HTTPS) et le port (80, 443, autre)
	Cet écran permet de préciser si vous passez par un proxy, de démarrer l'API SPUD et de spécifier si l'algorithme de réduction des faux positifs doit être utilisé.
	Cet écran rappelle les informations saisies
	Cliquez sur "Finish"

SystemConfig

Cet écran permet de modifier la configuration faite avec l'assistant (Wizard).

Spider

Cet écran permet d'afficher l'arborescence (partie visible de l'iceberg) d'un site ou d'une application Web, ainsi que la liste des liens vers l'extérieur.

Googler

Cette fonctionnalité permet de mettre en évidence, par une recherche Google, la présence de certaines extensions sur un site ou une application Web.

BackEnd

L'onglet "Spider" met en évidence la partie visible de l'iceberg, alors que l'onglet "BackEnd" permet de mettre en évidence la partie masquée. La technique est simple : il s'agit du brute force sur base de dictionnaires, afin de découvrir des répertoires et des fichiers non indexés par les moteurs de recherche.

Wikto

Cet onglet permet de faire apparaître plus spécifiquement des répertoires ou des pages correspondants à des parties documentaires ou d'administration d'un site ou d'une application. Cette fonctionnalité peut mettre en évidences certaines faiblesses d'une application.

GoogleHacks

Cette fonctionnalité permet d'exploiter le base de données GHDB (GoogleHacks DataBase) mise à disposition par Johnny Long afin de mettre en évidences certaines faiblesses d'une application (fichiers de configuration, mots de passe, dossiers de backups, etc.) par des filtres Google.