Présentation

Article

1 - CONTEXTE ET ÉVOLUTIONS LOGICIELLES

2 - RISQUES DE SÉCURITÉ WEB

3 - TECHNIQUES ET OUTILS D'AUDIT

4 - RETOUR D'EXPÉRIENCE

  • 4.1 - Problématiques rencontrées lors des audits
  • 4.2 - Conclusion

Article de référence | Réf : H5135 v1

Contexte et évolutions logicielles
Audits de sécurité et Web - Méthodologies, outils et retour d'expérience

Auteur(s) : Laurent BUTTI

Relu et validé le 04 déc. 2019

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

L'audit est une brique nécessaire de l'implémentation de la roue de Deming, représentative du cycle d'amélioration continue. Dans un contexte Web, l'audit de sécurité doit vérifier que les phases amont sont bien implémentées en vue d'émettre les recommandations nécessaires pour corriger des vulnérabilités éventuellement découvertes. Cet article présente les principales approches et outils utilisés lors des audits de sécurité techniques dans le domaine des applications Web.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Web security audits - Methodologies, tools and experience return

Auditing is an essential step when implementing Deming wheel. In a Web context, security audits have to check that prior phases are correctly implemented in order to improve them thanks to appropriate recommendations. This article aims at presenting main principles and recommended tools for technical security audits related to Web applications.

Auteur(s)

INTRODUCTION

Les applications Web sont intrinsèquement vulnérables aux attaques venant de l'extérieur de par leur exposition. Afin de sensibiliser le lecteur à ces problématiques, sont présentées quelques statistiques. Issues des études de WhiteHat Security et TrustWave, elles illustrent les principales classes de vulnérabilités rencontrées dans le domaine de la sécurité Web. Cet article aura pour tâche d'expliciter la majeure partie de ces vulnérabilités qui seront décrites dans la section « Risques de sécurité Web ».

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

vulnerability   |   IT Security   |   computer security

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5135


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

1. Contexte et évolutions logicielles

La figure 1 décrit l'ensemble des classes de vulnérabilités les plus courantes des sites Web qui ont été auditées par la société Whitehat Security. Nous pouvons constater que de nombreuses failles dépassent un taux de 20 % de présence, ce qui est tout à fait inquiétant. La figure 2, quant à elle, repose sur les mêmes principes, mais les données sont issues de la société TrustWave.

Des corrélations entre ces deux études sont observables. Comme, par exemple, sur la présence forte des failles de type « Cross-Site Scripting » et « Cross-Site Request Forgery ». La description complète de chacune de ces failles sera réalisée au § 2.

Par ailleurs, le document détaillé de l'étude de Whitehat Security souligne que :

  • les organisations de taille importante ont le nombre moyen de vulnérabilités par application le plus élevé (13 contre 11 pour le meilleur) ;

  • les organisations de taille importante ont le taux de mise en place des correctifs le moins élevé (54 % contre 62 % pour le meilleur).

Ces résultats pourraient s'expliquer par la complexité de mise en œuvre des préceptes de sécurité dans la chaîne complète, lorsque l'organisation est de taille importante.

Nota

se reporter au Pour en savoir plus pour disposer d'une liste de sites Web spécialisés à consulter.

1.1 Failles applicatives des sites Web

Les applications Web sont la cible de nombreuses attaques, avec des impacts importants sur les sites Web attaqués (perte d'image de marque, compromission de données métiers ou de données clients...).

En effet, les failles applicatives sur les services Web...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Contexte et évolutions logicielles
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - SHEWHART (S.), WALTER (A.) -   Economic control of quality of manufactured product/50th anniversary commemorative issue.  -  American Society for Quality December 1980. ISBN 0-87389-076-0. OCLC 223422287 (1930).

1 Sites Internet

• Agarri – Spécialisée dans les aspects offensifs de la sécurité de l'information http://www.agarri.fr

• Alexa – Fournit des informations sur les sites Web http://www.alexa.com

• BEFF – The Browser Exploitation Framework Project – Utiliser le cryptage XSS http://www.beefproject.com

• Clang Clangage Family Frontend for UVM – Interface de bas niveau au compilateur clang et utilisant les bibliothèques LLVM https://clang.llvm.org/

• Computer Science Division EECS de l'université de Berkeley http://www.cs.berkeley.edu

• CVE Common Vilnerabilities and Exposures – Dictionnaire informatif sur les vulnérabilités informatiques à l'usage du public http://www.cve.mitre.org

• Department of Computer Science http://www.cs.ucsb.edu

• Exploits Database – Archive des logiciels vulnérables http://www.exploit-db.com

• FindBuggs – Logiciel libre d'analyse statique de bytecode Java http://www.findbugs.sourceforge.net

• Google Code – Site google de développement http://www.code.google.com

• ha.ckers – Laboratoire d'applications Web de sécurité informatique

• Microsoft http://www.microsoft.com

• NIST – National Institute of Standards and Technology Dossier « Audits de...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS