Le logiciel VulnIT Plug & Audit permet de déceler automatiquement les vulnérabilités les plus courantes, exploitables et donc sensibles afin d’aider le RSSI dans ses contrôles de sécurité.

Après l’ajout des tests de patch management et une console d’audit wifi, VulnIT élargit son spectre de compétences en intégrant un module dédié aux tests de sites web.

Ce module commence par une phase de découverte du site (crawling) recensant toutes les pages accessibles, qu’elles soient liées naturellement (liens hypertextes, formulaires, menus Flash) ou cachées (découverte basée sur dictionnaire).

Une fois ces pages recensées, VulnIT Plug & Audit automatise la découverte des vulnérabilités suivantes :
 Injection SQL (à l’aveugle), sur 4 technologies de bases de données sous-jacentes : Oracle, SQL Server, MySQL et PostgreSQL,
 XSS (Cross-site scripting, stored ou reflected),
 Inclusion de fichier (File inclusion) local (LFI) ou distant (RFI),
 Authentification triviale (formulaire web ou sécurité http par .htaccess).

L’OWASP classe ces failles parmi les plus critiques et les plus couramment rencontrées sur les sites web.

VulnIT Plug & Audit détecte également les fuites d’information suivantes pouvant servir à faciliter une attaque :
 Autocomplétion dans les formulaires web d’authentification,
 Fichiers temporaires (de développement ou de sauvegarde),
 FPD (Full Path Disclosure) indiquant l’architecture du serveur web,
 Fonction TRACE activée sur le serveur web,
 Détection de la version du serveur web.