Présentation
RÉSUMÉ
L'audit est une brique nécessaire de l'implémentation de la roue de Deming, représentative du cycle d'amélioration continue. Dans un contexte Web, l'audit de sécurité doit vérifier que les phases amont sont bien implémentées en vue d'émettre les recommandations nécessaires pour corriger des vulnérabilités éventuellement découvertes. Cet article présente les principales approches et outils utilisés lors des audits de sécurité techniques dans le domaine des applications Web.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent BUTTI : Expert sécurité Orange
INTRODUCTION
Les applications Web sont intrinsèquement vulnérables aux attaques venant de l'extérieur de par leur exposition. Afin de sensibiliser le lecteur à ces problématiques, sont présentées quelques statistiques. Issues des études de WhiteHat Security et TrustWave, elles illustrent les principales classes de vulnérabilités rencontrées dans le domaine de la sécurité Web. Cet article aura pour tâche d'expliciter la majeure partie de ces vulnérabilités qui seront décrites dans la section « Risques de sécurité Web ».
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
Techniques et outils d'auditArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
2. Risques de sécurité Web
Cette partie présente les principales classes de risques de sécurité Web. Tout d'abord sont abordés leurs principes, mais aussi, sur certaines classes de risques les plus courantes, le fonctionnement plus de détaillé de l'exploitation de telles failles de sécurité.
2.1 À propos
L'Open Web Application Security Project (OWASP ) est une communauté ouverte dont le but est de développer et maintenir des outils et documents destinés à aider les organisations à concevoir et développer des applications Web sécurisées.
Cette communauté est financée par la fondation OWASP depuis 2001, avec l'objectif de rendre indépendants les travaux de la communauté vis-à-vis de toute pression commerciale. Le financement de cette fondation est réalisé grâce à une participation financière des nombreux membres qui la composent (entreprises et individuels). Pour information, la fondation a disposé d'un budget 2012 d'un peu plus de 900 000 $.
Parmi les différents travaux engagés par l'OWASP, nous pouvons citer le « OWASP Top 10 » qui est la référence sur les risques les plus importants en sécurité des applications Web. Ne présentant « que » les 10 risques les plus importants, il est à noter que tous les types de vulnérabilités Web ne sont pas présents dans ce document. La première édition avait été rendue publique en 2003. Nous disposons aujourd'hui de la 5e version sortie en 2013. Ce document a pour but d'éduquer les entités réalisant du développement Web, afin de les sensibiliser sur les risques les plus critiques, tout en donnant les informations nécessaires pour implémenter des mesures correctives ou préventives.
Dans le domaine du développement d'applications sur mobiles qui est maintenant incontournable, l'OWASP a aussi diffusé un « OWASP Top 10 Mobile Risks » prenant en compte les nouvelles problématiques de sécurité qui en découlent.
Enfin, l'institut System Administration, Networking, and Security (SANS ) a publié un recensement des erreurs les plus dangereuses dans le développement, appelé le « CWE/SANS Top 25 Most Dangerous Software Errors ». Généraliste, il complète efficacement le Top 10 OWASP qui, lui, est orienté Web.
consulter les adresses des sites Internet dans le Pour en savoir plus.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Risques de sécurité Web
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
• Agarri – Spécialisée dans les aspects offensifs de la sécurité de l'information http://www.agarri.fr
• Alexa – Fournit des informations sur les sites Web http://www.alexa.com
• BEFF – The Browser Exploitation Framework Project – Utiliser le cryptage XSS http://www.beefproject.com
• Clang Clangage Family Frontend for UVM – Interface de bas niveau au compilateur clang et utilisant les bibliothèques LLVM https://clang.llvm.org/
• Computer Science Division EECS de l'université de Berkeley http://www.cs.berkeley.edu
• CVE Common Vilnerabilities and Exposures – Dictionnaire informatif sur les vulnérabilités informatiques à l'usage du public http://www.cve.mitre.org
• Department of Computer Science http://www.cs.ucsb.edu
• Exploits Database – Archive des logiciels vulnérables http://www.exploit-db.com
• FindBuggs – Logiciel libre d'analyse statique de bytecode Java http://www.findbugs.sourceforge.net
• Google Code – Site google de développement http://www.code.google.com
• ha.ckers – Laboratoire d'applications Web de sécurité informatique
• Microsoft http://www.microsoft.com
• NIST – National Institute of Standards and Technology Dossier « Audits de...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
