Présentation
EnglishRÉSUMÉ
L'audit est une brique nécessaire de l'implémentation de la roue de Deming, représentative du cycle d'amélioration continue. Dans un contexte Web, l'audit de sécurité doit vérifier que les phases amont sont bien implémentées en vue d'émettre les recommandations nécessaires pour corriger des vulnérabilités éventuellement découvertes. Cet article présente les principales approches et outils utilisés lors des audits de sécurité techniques dans le domaine des applications Web.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent BUTTI : Expert sécurité Orange
INTRODUCTION
Les applications Web sont intrinsèquement vulnérables aux attaques venant de l'extérieur de par leur exposition. Afin de sensibiliser le lecteur à ces problématiques, sont présentées quelques statistiques. Issues des études de WhiteHat Security et TrustWave, elles illustrent les principales classes de vulnérabilités rencontrées dans le domaine de la sécurité Web. Cet article aura pour tâche d'expliciter la majeure partie de ces vulnérabilités qui seront décrites dans la section « Risques de sécurité Web ».
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
4. Retour d'expérience
Ce chapitre présente des retours d'expérience de cas pratiques d'audits de sécurité et de leur mise en œuvre dans un contexte opérationnel.
4.1 Problématiques rencontrées lors des audits
Au niveau des audits ponctuels, nous avons constaté les éléments suivants :
-
failles de type XSS très courantes, et en particulier les failles DOM-Based XSS ;
-
failles de type injection SQL de moins en moins courantes ;
-
failles de type injection de fichier/ressource très rares ;
-
failles de type protection insuffisante des données sensibles (par exemple : mots de passe) plutôt courantes ;
-
failles de type mauvaise configuration plutôt courantes.
Nous pouvons supputer plusieurs raisons à ces problématiques :
-
les aspects sécurité ne font pas forcément partie des objectifs clairement énoncés lors de la spécification du service à développer ;
-
les développeurs se focalisent sur leurs objectifs, à savoir, produire du code fonctionnel vis-à-vis des exigences des spécifications ;
-
les frameworks de développement ne sont pas tous égaux sur les aspects sécurité. Par conséquent, l'assistance apportée aux développeurs pour prévenir les risques de sécurité est très inégale ;
-
les impacts de certaines failles de sécurité, en particulier les XSS, ne sont pas bien compris par les décideurs, ce qui entraîne une certaine latence dans la mise en œuvre des correctifs ;
-
les aspects configuration des socles système et des applications font souvent appel à plusieurs environnements et équipes, ce qui est alors sujet à erreurs.
L'audit est une phase essentielle qui permet de mettre en évidence les problèmes de sécurité. Cependant, pour que l'efficacité soit maintenue, il est primordial qu'il s'inscrive dans un cycle de vie logiciel afin qu'il ne soit qu'une brique parmi d'autres (formations, recommandations, analyse de risques...).
Tout revient au nerf de la guerre, les décideurs doivent être convaincus que les aspects sécurité peuvent apporter un gain en qualité de développement, ainsi qu'un gain au niveau de la confiance de leurs clients. Tout cela amenant alors des réductions de coûts à terme par une...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Retour d'expérience
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
• Agarri – Spécialisée dans les aspects offensifs de la sécurité de l'information http://www.agarri.fr
• Alexa – Fournit des informations sur les sites Web http://www.alexa.com
• BEFF – The Browser Exploitation Framework Project – Utiliser le cryptage XSS http://www.beefproject.com
• Clang Clangage Family Frontend for UVM – Interface de bas niveau au compilateur clang et utilisant les bibliothèques LLVM https://clang.llvm.org/
• Computer Science Division EECS de l'université de Berkeley http://www.cs.berkeley.edu
• CVE Common Vilnerabilities and Exposures – Dictionnaire informatif sur les vulnérabilités informatiques à l'usage du public http://www.cve.mitre.org
• Department of Computer Science http://www.cs.ucsb.edu
• Exploits Database – Archive des logiciels vulnérables http://www.exploit-db.com
• FindBuggs – Logiciel libre d'analyse statique de bytecode Java http://www.findbugs.sourceforge.net
• Google Code – Site google de développement http://www.code.google.com
• ha.ckers – Laboratoire d'applications Web de sécurité informatique
• Microsoft http://www.microsoft.com
• NIST – National Institute of Standards and Technology Dossier « Audits de...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive