En se basant sur WSTG-INFO-05, une section du Web Security Testing Guide (WSTG) publié par l’OWASP (Open Worldwide Application Security Project). Cette section est dédiée à la détection de fuites d’informations sensibles dans le contenu des pages web.
Affichez le code source (Ctrl + U) ou clique droit sur la page et afficher le code source
Objectif de WSTG-INFO-05
L’objectif principal de WSTG-INFO-05 est d’identifier les informations sensibles ou internes qui pourraient être exposées involontairement dans le code source HTML, les commentaires, les métadonnées ou les fichiers JavaScript d’une application web. Ces informations peuvent inclure :
- Des commentaires HTML contenant des requêtes SQL, des identifiants ou des mots de passe
- Des balises
<meta>révélant des informations sur l’auteur ou la structure du site - Des fichiers de débogage ou des fichiers source maps accessibles publiquement
- Des redirections HTTP avec du contenu dans le corps de la réponse, pouvant divulguer des données sensibles.
Méthodologie de test
L’approche recommandée consiste à :
- Analyser le code source des pages web à la recherche de commentaires ou de métadonnées contenant des informations sensibles.
- Examiner les fichiers JavaScript pour détecter des informations de configuration ou des données sensibles.
- Vérifier l’existence de fichiers de débogage ou de source maps accessibles publiquement.
- Tester les redirections HTTP pour s’assurer qu’elles ne contiennent pas de contenu dans le corps de la réponse pouvant divulguer des informations sensibles.
Des outils tels que Burp Suite, curl, ou simplement la fonction “Afficher le code source” du navigateur peuvent être utilisés pour ces analyses .
Vous trouverez le flag en bas de page !
