Je m'insère dans la conversation, car je fait actuellement des tests avec Wapiti sur des sites fait avec Django. Pour être sûr des résultats, j'ai refait les tests avec une installation vierge de Django.
Wapiti me sort une ribambelle de failles XSS notamment sur les formulaires fournis par défaut avec Django (comme celui tout bête de login à l'admin).
Wapiti me sort aussi une alerte sur une injection SQL sur le formulaire (toujours celui fourni par django) de changement de langue (i18n/setlang/). En regardant les sources, on voit que jamais les arguments passés ne touchent la base de donnée.
N'arrivant pas à reproduire les comportements suspects remontés par Wapiti, je me pose la question suivante : est-ce des faux positifs ? D'autant que Django n'est pas tout jeune et est un framework ayant été éprouvé.
[^] # Re: Merci
Posté par nnamrok . En réponse à la dépêche Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web. Évalué à 1. Dernière modification le 19 janvier 2018 à 12:31.
Je m'insère dans la conversation, car je fait actuellement des tests avec Wapiti sur des sites fait avec Django. Pour être sûr des résultats, j'ai refait les tests avec une installation vierge de Django.
Wapiti me sort une ribambelle de failles XSS notamment sur les formulaires fournis par défaut avec Django (comme celui tout bête de login à l'admin).
Wapiti me sort aussi une alerte sur une injection SQL sur le formulaire (toujours celui fourni par django) de changement de langue (i18n/setlang/). En regardant les sources, on voit que jamais les arguments passés ne touchent la base de donnée.
N'arrivant pas à reproduire les comportements suspects remontés par Wapiti, je me pose la question suivante : est-ce des faux positifs ? D'autant que Django n'est pas tout jeune et est un framework ayant été éprouvé.