Introducing G2.ai, the future of software buying.Try now
Glossaire de la technologie

Test d'intrusion

Adam Crivello
AC
par Adam Crivello
Qu'est-ce que le test de pénétration et pourquoi est-il vital en cybersécurité ? Notre guide G2 peut vous aider à comprendre le test de pénétration, comment il est utilisé par les professionnels de la sécurité, et les avantages du test de pénétration.
DéfinitionLogiciel Test d'intrusion

Dans cet article

Dans cet article

Qu'est-ce que le test de pénétration ?

Le test de pénétration, souvent appelé pen testing ou hacking éthique, est une simulation d'attaque informatique contre un système informatique, un réseau ou une application web. L'objectif est d'identifier les vulnérabilités que des acteurs malveillants pourraient exploiter.

Souvent réalisé par des spécialistes de la cybersécurité, le test de pénétration est généralement considéré comme une partie intégrante du cycle de vie du développement logiciel. Il est utilisé pour identifier et corriger les faiblesses des systèmes logiciels, qu'ils soient actuellement utilisés ou en phase de développement. Les principaux outils utilisés pour ce processus sont les logiciels de test de pénétration et les scanners de vulnérabilités.

Logiciel Test d'intrusion
Logiciel mentionnant test d'intrusion comme fonctionnalité ou terme.
Kali Linux
Kali Linux
Burp Suite
Burp Suite
Infosec Skills
Infosec Skills
INE
INE
Verizon Penetration Testing
Verizon Penetration Testing
Metasploit
Metasploit

Types de tests de pénétration

Selon l'utilisation du test de pénétration, l'un des différents types de tests de pénétration sera utilisé.

  • Test de réseau : Dans le contexte du test de pénétration, le test de réseau consiste à identifier les vulnérabilités dans l'infrastructure réseau telles que les serveurs, les hôtes et les appareils réseau comme les routeurs et les commutateurs.
  • Test d'application : Ce type de test de pénétration implique de tester les applications pour découvrir des faiblesses potentielles qui pourraient être exploitées via des attaques par injection, des scripts intersites ou d'autres techniques.
  • Ingénierie sociale : Ce type de test de pénétration implique de tenter d'exploiter les vulnérabilités humaines, comme les employés étant trompés pour révéler des informations sensibles. Ces tests peuvent être effectués via les canaux de messagerie des employés pour recueillir des informations sur les types de faux e-mails et messages les plus efficaces.

Avantages de l'utilisation des tests de pénétration

La mise en œuvre régulière de tests de pénétration peut apporter de nombreux avantages à toute organisation.

  • Atténuation des risques : Les tests de pénétration permettent aux organisations d'identifier et de résoudre les vulnérabilités avant qu'elles ne puissent être exploitées, minimisant ainsi le risque de violations. Une fois les vulnérabilités trouvées, les entreprises peuvent alors travailler à résoudre ces points faibles dans leurs systèmes.
  • Assurance de conformité : Les tests de pénétration réguliers aident les entreprises à rester conformes aux réglementations et normes de sécurité. À mesure que les normes évoluent en réponse aux nouvelles méthodes de cyberattaque, les tests de pénétration aident les entreprises à maintenir la conformité et à garder le risque faible.
  • Renforcement de la confiance : Des tests de pénétration réguliers et approfondis augmentent la confiance des clients, car ils font partie d'un engagement plus large envers la sécurité. Les clients qui savent que leurs données sont entre de bonnes mains sont plus enclins à faire affaire avec des fournisseurs.
  • Économies de coûts : Identifier et résoudre les vulnérabilités tôt dans le cycle de vie du développement logiciel peut aider à économiser des coûts substantiels qui pourraient survenir en raison de violations potentielles à l'avenir. Le temps et les efforts économisés en arrêtant les attaques avant qu'elles ne se produisent rendent l'investissement dans un logiciel de pénétration de qualité rentable.
  • Remédiation : Les tests de pénétration vont au-delà de la simple identification des vulnérabilités. La plupart des solutions de test de pénétration fournissent également des conseils de remédiation exploitables pour aider les entreprises à commencer à résoudre les points faibles.

Éléments de base des tests de pénétration

Les méthodes exactes pour les tests de pénétration en cybersécurité peuvent varier, mais un test de pénétration complet inclura les éléments suivants :

  • Planification et préparation : Ici, la portée et les objectifs du test sont définis, les méthodes de test sont sélectionnées et toutes les autorisations nécessaires sont définies. Les professionnels de la cybersécurité définissent également les paramètres du test, y compris les systèmes à tester et les techniques de test à utiliser. La plupart des logiciels de test de pénétration permettent aux utilisateurs de définir ces paramètres pour une réutilisation automatisée.
  • Reconnaissance : Aussi connue sous le nom de découverte ou de collecte d'informations, la reconnaissance consiste à collecter autant d'informations que possible sur le système, le réseau ou l'application cible du test. Cela inclut l'analyse des configurations système, l'identification des adresses IP et la compréhension des fonctionnalités du système et des vulnérabilités potentielles.
  • Analyse : Les testeurs utilisent souvent l'analyse de vulnérabilités, l'analyse statique et l'analyse dynamique pour révéler comment une application se comporte en cours d'exécution. L'analyse initiale du code peut identifier des vulnérabilités avant même de réaliser un test de pénétration.
  • Accès : Une fois la collecte d'informations et l'analyse terminées, le testeur de pénétration (ou le logiciel automatisé) tente d'exploiter les vulnérabilités découvertes pour pénétrer dans le système. Cela peut prendre la forme de violations de données, d'interruption ou d'interception du trafic réseau, d'escalade de privilèges, et plus encore.
  • Maintien de l'accès : Les testeurs de pénétration et les logiciels de test de pénétration automatisés essaieront de rester dans un système sans être détectés pour imiter une menace persistante potentielle. L'objectif est de voir si l'intrusion passe inaperçue et pendant combien de temps.
  • Analyse et rapport : Après la fin du test de pénétration, un rapport détaillé est créé, qui décrit les vulnérabilités découvertes, le taux de réussite des tentatives d'exploitation, les données qui ont été accessibles et la durée pendant laquelle le testeur a pu rester dans le système sans être détecté. Le rapport inclura également généralement des recommandations pour remédier aux risques et vulnérabilités identifiés.

Meilleures pratiques pour les tests de pénétration

Les tests de pénétration doivent être réalisés avec précision, régularité et une compréhension approfondie des menaces potentielles. Ils ne doivent pas seulement identifier les vulnérabilités mais aussi fournir des conseils clairs et exploitables sur la façon de les remédier.

Pour maximiser l'efficacité des tests de pénétration, les utilisateurs peuvent suivre ces meilleures pratiques :

  • Utiliser des outils appropriés : Une large gamme d'outils de test de pénétration existe, chacun avec ses propres fonctionnalités applicables à certains cas d'utilisation. Les organisations doivent comparer les logiciels en utilisant G2.com et d'autres méthodes pour trouver la meilleure solution pour leurs besoins. 
  • Tests réguliers :  Les tests de pénétration doivent être réalisés régulièrement pour garantir une conformité et une atténuation des risques à jour. Les systèmes et réseaux logiciels subissent constamment des changements, ce qui entraîne de nouveaux risques potentiels. Au-delà de cela, de nouveaux types de cyberattaques apparaissent au fil du temps. Les entreprises doivent effectuer des tests fréquemment ou risquer de prendre du retard en matière de sécurité. 
  • Rapports complets : Les tests de pénétration ne sont utiles que dans la mesure où les informations que les entreprises peuvent en tirer. Il ne suffit pas de savoir qu'un système est vulnérable. Avoir des détails spécifiques sur les vulnérabilités, leur impact potentiel et les stratégies de remédiation recommandées est essentiel pour maintenir des systèmes sécurisés.

Test de pénétration vs. analyse de vulnérabilité

Bien que le test de pénétration et l'analyse de vulnérabilité visent tous deux à identifier les faiblesses de sécurité d'un système, ils diffèrent par leur approche et leur profondeur. Le test de pénétration simule une attaque sur le système pour exploiter les vulnérabilités et évaluer leur impact. L'analyse de vulnérabilité fait souvent partie du test de pénétration.

À elle seule, l'analyse de vulnérabilité consiste à identifier, quantifier et prioriser automatiquement les vulnérabilités d'un système, généralement sans prendre d'autres mesures au-delà de fournir des suggestions de remédiation.

Découvrez comment vous pouvez devenir un hacker éthique certifié avec ce guide d'étude CEH.

Adam Crivello
AC

Adam Crivello

Adam is a research analyst focused on dev software. He started at G2 in July 2019 and leverages his background in comedy writing and coding to provide engaging, informative research content while building his software expertise. In his free time he enjoys cooking, playing video games, writing and performing comedy, and avoiding sports talk.

Logiciel Test d'intrusion

Cette liste montre les meilleurs logiciels qui mentionnent le plus test d'intrusion sur G2.

Kali Linux

Kali Linux est une distribution open-source basée sur Debian, conçue pour les tests de pénétration avancés et l'audit de sécurité. Elle offre une suite complète d'outils et de configurations, permettant aux utilisateurs de se concentrer sur leurs tâches de sécurité sans avoir besoin d'une configuration étendue. Kali Linux est accessible sur plusieurs plateformes et est disponible gratuitement pour les professionnels et les passionnés de la sécurité de l'information. Caractéristiques clés et fonctionnalités : - Ensemble d'outils étendu : Fournit des centaines d'outils préinstallés pour diverses tâches de sécurité de l'information, y compris les tests de pénétration, la recherche en sécurité, la criminalistique informatique, l'ingénierie inverse, la gestion des vulnérabilités et les tests de l'équipe rouge. - Support multi-plateforme : Compatible avec diverses plateformes, assurant flexibilité et adaptabilité pour différents besoins des utilisateurs. - Intégration cloud : Disponible en tant qu'image de machine Amazon sur AWS Marketplace, permettant aux utilisateurs de déployer efficacement des instances de Kali Linux dans le cloud. Valeur principale et solutions pour les utilisateurs : Kali Linux répond au besoin critique d'un environnement de test de sécurité robuste et complet. En offrant une vaste gamme d'outils et de configurations prêts à l'emploi, il permet aux professionnels de la sécurité de mener des évaluations approfondies, d'identifier les vulnérabilités et de renforcer les défenses sans le fardeau de l'intégration manuelle des outils. Sa disponibilité sur des plateformes comme AWS améliore encore son utilité en fournissant un accès évolutif et à la demande à un environnement de test de sécurité puissant.

Burp Suite

Burp Suite est une boîte à outils pour les tests de sécurité des applications web.

Infosec Skills

Infosec Skills est la seule plateforme de formation en cybersécurité qui évolue aussi rapidement que vous. Formez-vous selon votre emploi du temps avec un accès illimité à des centaines de cours pratiques en cybersécurité et de laboratoires virtuels pratiques — ou passez à un boot camp Infosec Skills pour une formation en direct dirigée par un instructeur, garantie pour vous certifier dès votre première tentative. Que vous recherchiez une formation pour vous-même ou pour votre équipe, l'expertise approfondie en cybersécurité d'Infosec et sa plateforme de formation primée fournissent les ressources et les conseils dont vous avez besoin pour rester en avance sur les évolutions technologiques. Infosec Skills vous aide à : ● Construire et valider des compétences en cybersécurité très demandées ● Apprendre en faisant avec des laboratoires, des projets et des évaluations hébergés dans le cloud ● Obtenir et maintenir votre certification avec des centaines d'opportunités de crédits de formation continue ● Vous former pour votre emploi actuel — ou votre carrière de rêve — avec des parcours d'apprentissage basés sur les rôles, cartographiés selon le cadre de la main-d'œuvre en cybersécurité NICE ● Évaluer et combler les lacunes de compétences de votre équipe avec des outils de gestion d'équipe faciles à utiliser, des missions de formation personnalisées et des boot camps immersifs pour l'équipe

INE

L'accès individuel vous donne un accès illimité à notre catalogue complet de plus de 15 000 vidéos de formation en réseau et en informatique. Les plans d'affaires offrent aux équipes de 4 personnes ou plus le même accès au contenu des cours que les individus reçoivent, avec l'ajout de fonctionnalités telles que des analyses utilisateur avancées, des licences transférables et l'accès aux environnements de laboratoire Cisco.

Verizon Penetration Testing

Le test de pénétration est une partie importante de la gestion des risques. Il vous aide à sonder les vulnérabilités cybernétiques afin de pouvoir mettre les ressources là où elles sont le plus nécessaires. Évaluez vos risques et mesurez les dangers, puis utilisez des scénarios réels pour vous aider à renforcer votre sécurité.

Metasploit

Metasploit est une plateforme complète de tests de pénétration développée par Rapid7, conçue pour aider les professionnels de la sécurité à identifier, exploiter et valider les vulnérabilités au sein de leurs réseaux. En simulant des attaques du monde réel, Metasploit permet aux organisations d'évaluer leur posture de sécurité et d'améliorer leurs défenses contre les menaces potentielles. Caractéristiques clés et fonctionnalités : - Bibliothèque d'exploits étendue : Accès à une vaste base de données régulièrement mise à jour de plus de 1 500 exploits et 3 300 modules, permettant aux utilisateurs de simuler une large gamme de scénarios d'attaque. - Exploitation automatisée : Des fonctionnalités comme l'exploitation intelligente et le forçage brutal automatisé des identifiants rationalisent le processus de test de pénétration, augmentant l'efficacité et la précision. - Modules post-exploitation : Plus de 330 modules post-exploitation permettent aux testeurs d'évaluer l'impact d'une violation réussie et de recueillir des informations critiques à partir de systèmes compromis. - Test d'identifiants : Capacité à exécuter des attaques par force brute contre plus de 20 types de comptes, y compris les bases de données, les serveurs web et les outils d'administration à distance, pour découvrir des mots de passe faibles ou réutilisés. - Capacités d'intégration : Intégration transparente avec d'autres produits Rapid7, tels que InsightVM et Nexpose, facilitant la validation des vulnérabilités en boucle fermée et la priorisation de la remédiation. Valeur principale et résolution de problèmes : Metasploit permet aux organisations d'identifier et de traiter de manière proactive les faiblesses de sécurité avant que des acteurs malveillants ne puissent les exploiter. En simulant des attaques du monde réel, il fournit des informations précieuses sur les vulnérabilités potentielles, permettant aux équipes de sécurité de prioriser efficacement les efforts de remédiation. Cette approche proactive améliore la sensibilisation globale à la sécurité, réduit le risque de violations et assure la conformité avec les normes et réglementations de l'industrie.

Cobalt

La plateforme Pen Testing as a Service (PTaaS) de Cobalt transforme le modèle de test de pénétration défaillant d'hier en un moteur de gestion des vulnérabilités axé sur les données. Alimentée par notre vivier mondial de freelances certifiés, la plateforme de test de pénétration SaaS de Cobalt, basée sur le crowdsourcing, fournit des résultats exploitables qui permettent aux équipes agiles d'identifier, de suivre et de remédier aux vulnérabilités logicielles. Des centaines d'organisations bénéficient désormais de résultats de tests de pénétration de haute qualité, de temps de remédiation plus rapides et d'un retour sur investissement plus élevé pour leur budget de test de pénétration.

vPenTest

vPenTest est une plateforme de test de pénétration automatisée et à grande échelle qui rend les tests de pénétration réseau plus abordables, précis, rapides, cohérents et moins sujets aux erreurs humaines. vPenTest combine essentiellement les connaissances, méthodologies, techniques et outils couramment utilisés par plusieurs consultants en une seule plateforme qui dépasse constamment les attentes d'un test de pénétration. En développant notre cadre propriétaire qui évolue continuellement grâce à notre recherche et développement, nous sommes en mesure de moderniser la manière dont les tests de pénétration sont effectués.

Core Impact

Core Impact est un outil de test de pénétration facile à utiliser avec des exploits développés et testés commercialement qui permet à votre équipe de sécurité d'exploiter les faiblesses de sécurité, d'augmenter la productivité et d'améliorer les efficacités.

Parrot Security OS

Parrot Security OS est une distribution GNU/Linux gratuite et open-source basée sur Debian, conçue pour les experts en sécurité, les développeurs et les utilisateurs soucieux de leur vie privée. Elle offre une suite complète d'outils pour les tests d'intrusion, la criminalistique numérique, l'ingénierie inverse et le développement de logiciels, le tout dans un environnement léger et flexible. Caractéristiques clés et fonctionnalités : - Ensemble d'outils étendu : Parrot Security OS inclut plus de 600 outils pour diverses opérations de cybersécurité, telles que les tests d'intrusion, l'évaluation des vulnérabilités et la criminalistique numérique. - Éditions multiples : La distribution propose plusieurs éditions pour répondre aux différents besoins des utilisateurs : - Édition Sécurité : Conçue pour les tests d'intrusion et les opérations de red team, offrant un arsenal complet d'outils prêts à l'emploi. - Édition Maison : Destinée à un usage quotidien, à la vie privée et au développement de logiciels, avec la possibilité d'installer manuellement des outils de sécurité selon les besoins. - Édition IoT : Compatible avec les appareils Raspberry Pi, adaptée aux systèmes embarqués. - Images Docker : Images Docker pré-packagées pour un déploiement facile dans des environnements conteneurisés. - Léger et modulaire : Parrot Security OS est efficace même sur du matériel plus ancien, permettant aux utilisateurs de sélectionner et d'installer uniquement les composants dont ils ont besoin. - Modèle de publication continue : Le système suit un modèle de publication continue, garantissant aux utilisateurs l'accès aux dernières mises à jour et fonctionnalités. - Outils de confidentialité et d'anonymat : Des outils intégrés comme AnonSurf, Tor et I2P facilitent la navigation anonyme sur le web et améliorent la confidentialité des utilisateurs. Valeur principale et solutions pour les utilisateurs : Parrot Security OS offre une plateforme robuste et polyvalente pour les professionnels et les passionnés de cybersécurité. Son ensemble d'outils étendu et son design modulaire permettent aux utilisateurs de réaliser des évaluations de sécurité complètes, de développer des logiciels et de maintenir la confidentialité sans avoir besoin d'installations supplémentaires. La nature légère du système d'exploitation assure des performances optimales sur une large gamme de matériel, le rendant accessible à un large éventail d'utilisateurs. En intégrant des outils axés sur la confidentialité, Parrot Security OS répond au besoin croissant d'environnements informatiques sécurisés et anonymes.

HTB Enterprise Platform

HTB Enterprise est la plateforme de préparation de la main-d'œuvre cybernétique qui comble les lacunes de compétences, renforce la préparation opérationnelle et assure la résilience stratégique en cybersécurité. Elle propose des laboratoires pratiques d'attaque et de défense en conditions réelles (mappés aux cadres MITRE ATT&CK et NIST/NICE) et un contenu constamment mis à jour couvrant les dernières menaces et vulnérabilités. Les équipes de sécurité valident continuellement leurs compétences dans des scénarios réalistes, tandis que les gestionnaires suivent les progrès grâce à des analyses avancées et des rapports. Fiable pour plus de 1 000 entreprises, gouvernements et universités, la plateforme permet aux organisations de développer des talents en cybersécurité et de garder une longueur d'avance sur les attaquants.

Tenable Nessus

Depuis le début, nous avons travaillé main dans la main avec la communauté de la sécurité. Nous optimisons continuellement Nessus en fonction des retours de la communauté pour en faire la solution d'évaluation des vulnérabilités la plus précise et complète sur le marché. 20 ans plus tard, nous restons concentrés sur la collaboration communautaire et l'innovation produit pour fournir les données de vulnérabilité les plus précises et complètes - afin que vous ne manquiez pas de problèmes critiques qui pourraient mettre votre organisation en danger. Tenable est un fournisseur représentatif de Gartner en 2021 dans l'évaluation des vulnérabilités.

Beagle Security

Beagle Security est un outil de test de pénétration d'applications web qui vous aide à identifier les vulnérabilités de votre application web avant que les hackers ne les exploitent.

Pentest-Tools.com

Pentest-Tools.com aide les professionnels de la sécurité à trouver, valider et communiquer les vulnérabilités plus rapidement et avec plus de confiance - qu'il s'agisse d'équipes internes défendant à grande échelle, de MSP jonglant avec des clients, ou de consultants sous pression. Avec une couverture complète des actifs réseau, web, API et cloud, et une validation d'exploitation intégrée, chaque analyse se transforme en un aperçu crédible et exploitable. Fiable par plus de 2 000 équipes dans 119 pays et utilisé dans plus de 6 millions d'analyses annuelles, il offre rapidité, clarté et contrôle - sans piles gonflées ni flux de travail rigides.

Intruder

Intruder est une plateforme de surveillance de sécurité proactive pour les systèmes exposés à Internet.

Packetlabs

Les tests de sécurité des applications évaluent la sécurité des applications web et mobiles pour les protéger des cyberattaques. Du code source jusqu'au navigateur, une évaluation de la sécurité des applications mesure l'efficacité des contrôles que vous avez actuellement en place en simulant une attaque. Nos tests de sécurité des applications basés sur OWASP vont bien au-delà du Top 10 OWASP et aident à découvrir même les vulnérabilités les plus difficiles à trouver exploitées par des adversaires plus sophistiqués. Nous avons développé une approche unique pour recruter les meilleurs talents, ce qui a abouti à des tests bien plus approfondis que les normes de l'industrie. Chacun de nos consultants possède au minimum la convoitée certification OSCP de 24 heures. La plupart des testeurs de sécurité des applications se fient uniquement aux tests automatisés. Cela n'est que le début de notre processus, qui est suivi par des processus manuels approfondis pour offrir l'un des services les plus complets de l'industrie. Le problème avec l'automatisation seule est qu'elle est sujette à des faux positifs (par exemple, des résultats incorrects) et des faux négatifs (par exemple, des zones critiques de l'application manquantes, manque de contexte, exploits en chaîne, et plus encore). En ne se fiant jamais à l'automatisation, nos experts explorent les opportunités pour des attaquants plus avancés, imitant un scénario du monde réel. L'approche unique de Packetlabs en matière de tests de sécurité des applications commence par le développement d'un modèle de menace et prend le temps de comprendre l'objectif global, les composants et leur interaction avec des informations ou des fonctionnalités sensibles. Cette approche permet une simulation réaliste de la manière dont un attaquant ciblerait votre application et, en retour, vous offre plus de valeur. Ce n'est qu'après une analyse approfondie que nous commençons à tenter de compromettre manuellement chaque couche de défense au sein de l'environnement.

BlackArch

BlackArch Linux est une distribution basée sur Arch Linux, conçue pour les testeurs d'intrusion, les chercheurs en sécurité et les hackers éthiques. Elle offre une suite complète de plus de 2 800 outils de sécurité, organisés en catégories telles que l'exploitation, la criminalistique, l'ingénierie inverse, l'analyse sans fil, le fuzzing, la recherche sur les logiciels malveillants et la cryptographie. Cet ensemble d'outils étendu permet aux utilisateurs de mener des évaluations de sécurité et des recherches approfondies. Caractéristiques clés et fonctionnalités : - Ensemble d'outils étendu : Fournit un vaste dépôt de plus de 2 800 outils de sécurité, permettant aux utilisateurs de les installer individuellement ou en groupes. - Compatibilité avec Arch Linux : Entièrement compatible avec les installations existantes d'Arch Linux, permettant une intégration et une personnalisation sans faille. - Options d'installation multiples : Offre des versions ISO complètes et légères, répondant aux différents besoins des utilisateurs et capacités des systèmes. - Capacité ISO Live : Peut être exécuté comme un système live, permettant aux utilisateurs de tester et d'utiliser la distribution sans installation. - Modèle de publication continue : Adhère au modèle de publication continue d'Arch Linux, garantissant aux utilisateurs l'accès aux dernières mises à jour du noyau et des paquets de sécurité sans avoir besoin de réinstaller le système. Valeur principale et solutions pour les utilisateurs : BlackArch Linux répond aux besoins des professionnels de la cybersécurité en fournissant une plateforme robuste et à jour pour les tests d'intrusion et la recherche en sécurité. Sa vaste collection d'outils, combinée à la flexibilité et à la personnalisation inhérentes à Arch Linux, permet aux utilisateurs d'adapter leur environnement aux exigences spécifiques des évaluations de sécurité. En offrant un modèle de publication continue, BlackArch garantit que les utilisateurs ont un accès continu aux derniers outils et mises à jour de sécurité, améliorant l'efficacité et l'efficience de leurs opérations de sécurité.

Indusface WAS

Le balayage des applications web d'Indusface aide à détecter les vulnérabilités des applications web, les logiciels malveillants et les défauts logiques grâce à un balayage complet quotidien ou à la demande. Géré par des experts en sécurité certifiés, Indusface WAS aide les organisations à trouver un impact commercial plus important des défauts logiques avec des démonstrations détaillées à travers des preuves de concept.

SQLmap

Injection SQL automatique et outil de prise de contrôle de base de données

sql map

sqlmap est un outil de test de pénétration open source qui automatise le processus de détection et d'exploitation des failles d'injection SQL et la prise de contrôle des serveurs de bases de données.