Les équipes internes de sécurité offensive, surtout au sein de grosses structures, font face à des surfaces exposées assez larges (dizaine de milliers de sites web).

Ces équipes doivent souvent effectuer des tests de sécurité sur ces surfaces afin de trouver et remonter les vulnérabilités avant que de vrais attaquants ne les découvrent et les exploitent. Cette tâche démarre par une phase de reconnaissance qui tend à être répétitive, fastidieuse, et même parfois impossible à gérer manuellement.

C'est en étant confronté à cette problématique que Farid Ayoujil (alias @faridtsl), pentesteur chez Alter Solutions, a eu l’idée de développer un outil pour faciliter cette collecte d'informations.

Qu’est-ce que FaRyuk ?

Un outil :
  • développé en Go ;
  • qui scanne des serveurs à partir de leurs IP ou noms de domaine ;
  • qui scanne les ports ouverts de chaque serveur ;
  • et beaucoup plus...
 
Pour en savoir plus, regardez la rump de Farid au SSTIC 2022.

 

Puis-je tester cet outil ?

Bonne nouvelle, FaRyuk sera publié sur notre GitHub dans les semaines à venir !

Pour ne pas manquer sa mise en ligne, pensez à vous abonner à notre compte Twitter : @ASF_cyberteam

 
Partager cet article