Prise d’empreinte d’applications web via des services en ligne (suite)

janvier 29th, 2013 | Posted by Cervoise in Français

Cet article est la suite de Prise d’empreinte d’applications web via des services en ligne.

Voici les logs des différents outils. Ces logs ne prennent en compte que les requêtes GET (avoir une journalisation de ces outils avec des requêtes POST serait intéressant).

http://whatcms.org/
<pre>
50.31.64.15 www.antoine-cervoise.fr – [08/Jan/2013:17:27:02 +0100] « GET //pages/Page1.html HTTP/1.0 » 200 244 « – » « gpEasy RemoteGet »
</pre>

http://guess.scritch.org
<pre>
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:17 +0100] « GET /pages/Page1.html HTTP/1.1 » 200 288 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:17 +0100] « GET /pages/PlsGimme404WXe/nowWXe HTTP/1.1 » 404 4535 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:19 +0100] « GET /pages/manage_copyright HTTP/1.1 » 404 4535 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:21 +0100] « GET /pages/plone HTTP/1.1 » 404 4534 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:26 +0100] « GET /pages/edit HTTP/1.1 » 404 4535 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:27 +0100] « GET /globals/hilite HTTP/1.1 » 404 4534 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:28 +0100] « GET /pages/admin/ HTTP/1.1 » 404 4533 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:32 +0100] « GET /pages/user/register HTTP/1.1 » 404 4533 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:34 +0100] « GET /pages/search/node HTTP/1.1 » 404 4533 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:38 +0100] « GET /pages/misc/drupal.js HTTP/1.1 » 404 4533 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:38 +0100] « GET /pages/misc/favicon.ico HTTP/1.1 » 404 4534 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:40 +0100] « GET /pages/users/retrievePassword HTTP/1.1 » 404 4534 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:42 +0100] « GET /cms/images/mainmenu/logo.gif HTTP/1.1 » 404 4534 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
212.153.70.75 www.antoine-cervoise.fr – [08/Jan/2013:17:27:44 +0100] « GET /pages/$blablah HTTP/1.1 » 404 4534 « – » « Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org) »
</pre>

http://whatcmsisthis.com/
<pre>
85.92.75.116 www.antoine-cervoise.fr – [08/Jan/2013:17:27:09 +0100] « GET /pages/Page1.html HTTP/1.0 » 200 244 « – » « – »
85.92.75.116 www.antoine-cervoise.fr – [08/Jan/2013:17:27:09 +0100] « GET /pages/Page1.html HTTP/1.0 » 200 244 « – » « – »
</pre>

Analyse des User -Agent

Sur les trois outils, seul un peut se détecter via son User-Agent. Il s’agit de http://guess.scritch.org qui, comme vous l’avez peut-être remarqué, a le User-Agent suivant :

Fetch/2.0a (CMS Detection/Web/SEO analysis tool, see http://guess.scritch.org)

Quant aux deux autres : http://whatcmsisthis.com/ utilise un User-Agent vide, et, http://whatcms.org/ utilise le nom de l’outil sans doute utilisé pour effectuer les requêtes gpEasy RemoteGet.

Analyse des requêtes

Deux outils (http://whatcmsisthis.com/ et http://whatcms.org/) se contentent de simples requêtes visant à analyser le contenu de la page. http://guess.scritch.org, quant à lui effectue plusieurs autres requêtes. Ces requêtes visent à atteindre des ressources spécifiques à certains CMS comme /plone pour Plone ou encore /misc/drupal.js pour Drupal.

Jouons un peu et ajoutons dans /pages la ressource /misc/drupal.js. Pour cela je me baserai sur une page vide /pages/Page.html.

Page.html

Le seul ajout de cette ressource ne fait pas croire à l’outil que c’est un Drupal. Maintenant remplaçons /misc/drupal.js par un fichier drupal.js provenant vraiment de Drupal (source : http://drupal.org/misc/drupal.js).

pages

Même constat en utilisant l’URL http://www.antoine-cervoise.fr/pages/.

Il se peut donc que ces ressources viennent en appui d’autres analyses. En conclusion, l’analyse des logs apporte quelques éléments supplémentaires sur l’un des outils sans pour autant éclaircir son fonctionnement.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.