Bonjour,
 
Je suis en train de finaliser la refonte complète d'un site e-Commerce pour une grosse société.
Je suis le seul à avoir développé dessus, et pour cause d'évolutions majeurs dans les processes, je suis reparti de zéro au niveau des développements.
Je n'ai eu à aucun moment une opinion externe quant à la sécurité du site.
 
Vu que c'est un site sur lequel on peut passer des commandes très onéreuses (plusieurs milliers de dollards par commande sont monnaie courantes, quand c'est pas des dizaines de milliers, comme en témoigne le "top 10 customers" basé sur les commandes depuis le début de l'année sur l'ancien site)
 

 
J'aimerais donc éviter si possible de tomber dans un piège à la con niveau sécurité dès les premières transactions. Ayant récement "hacké" le système du prestataire de paiment "PayPal" et le site de GrosBill, je sais qu'il est monnaie courante de laisser des failles béantes. Je me suis bien évidement prémuni d'entrée de jeu de ces failles basiques, mais je suppose que j'en ai tout de même malheureusement laissé un certain nombre !
 
Donc ma question arrive : Savez-vous où je pourrai trouver, si ça existe, des outils permettant de faire un certain nombre d'attaques plus où moins automatisées, ou alors une documentation "exhaustive" des failles à éviter... Où alors si vous connaissez une communauté qui pourrait faire le test.
 
Le principal problème, c'est le budget : moi je n'ai pas d'argent, et je ne suis pas décideur dans le domaine. Toutefois, avec un arrangement, je pense qu'il y a moyen de filer un peu d'argent à une personne qui aurait trouvé une faille, et qui l'aurait indiqué. (pis si la boîte paie pas, la personne n'a qu'à passer une commande en utilisant la faille )
 
Bref... Vu que le site est fait en ASP sous Windows 2003, y'a toujours la solution d'aller poster "fuck linux, microsoft is the best" sur un forum Linux, mais le souci c'est que j'aurai plutôt des attaques système, alors que de ce point de vue, je fais confiance aux admins de l'entreprise (la sécurité fait l'objet d'une véritable paranoïa ici, et je doute qu'ils laissent passer le moindre petit trou : même en interne on ne peux rien faire aux serveurs de dev...)
 
Nan, c'est plutôt mon appli elle-même qui est en cause...
 
Donc voilà, toute proposition est la bienvenue.
 
PS: Pour le moment, le site n'est pas en ligne, donc y'a rien à tester. L'url sera très certainement (mais rien n'est encore sûr, parcequ'elle est vraiment pourrie) : http://www.accessories.euro.gehealthcare.com
 
L'ancien site (qui ne fait pas l'objet de l'audit, on s'est déjà fait enfumé de 400 000 € donc on sait qu'il y a des failles dedans ) est là :
http://www.gemedicalaccessories.com