Présentation
En anglaisRÉSUMÉ
L'audit est une brique nécessaire de l'implémentation de la roue de Deming, représentative du cycle d'amélioration continue. Dans un contexte Web, l'audit de sécurité doit vérifier que les phases amont sont bien implémentées en vue d'émettre les recommandations nécessaires pour corriger des vulnérabilités éventuellement découvertes. Cet article présente les principales approches et outils utilisés lors des audits de sécurité techniques dans le domaine des applications Web.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Auditing is an essential step when implementing Deming wheel. In a Web context, security audits have to check that prior phases are correctly implemented in order to improve them thanks to appropriate recommendations. This article aims at presenting main principles and recommended tools for technical security audits related to Web applications.
Auteur(s)
-
Laurent BUTTI : Expert sécurité Orange
INTRODUCTION
Les applications Web sont intrinsèquement vulnérables aux attaques venant de l'extérieur de par leur exposition. Afin de sensibiliser le lecteur à ces problématiques, sont présentées quelques statistiques. Issues des études de WhiteHat Security et TrustWave, elles illustrent les principales classes de vulnérabilités rencontrées dans le domaine de la sécurité Web. Cet article aura pour tâche d'expliciter la majeure partie de ces vulnérabilités qui seront décrites dans la section « Risques de sécurité Web ».
KEYWORDS
vulnerability | IT Security | computer security
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Techniques et outils d'audit
Nous ne présenterons pas les outils déjà décrits dans l'article « Audits de sécurité : méthodologies, outils et retour d'expérience ». Nous invitons donc le lecteur à s'y référer. En effet, les principes restent toujours les mêmes : collecte d'informations, social engineering, découverte des points d'entrée applicatifs...
Nous présentons, dans ce chapitre, les outils les plus usités dans le cadre de la recherche et de l'exploitation de failles de sécurité des applications Web. Nous nous focaliserons en effet sur les outils, puisqu'ils implémentent les techniques qui sont couramment utilisées manuellement par les auditeurs.
Enfin, nous détaillerons plus précisément certains outils communément utilisés lors d'audits de sécurité Web.
3.1 Recherche de vulnérabilités Web
L'audit d'une application Web peut être réalisé en :
-
« boîte blanche » : l'auditeur a accès à toutes les informations nécessaires pour comprendre l'application auditée dans son ensemble (code source, configuration, données hébergées...) ;
-
« boîte noire » : l'auditeur a accès aux points d'entrées de l'application Web. Typiquement, une page Web principale résultant de l'exécution de l'application Web pour le client qui s'y connecte.
Dans le cadre de ces deux démarches, des outils existent qui permettent à l'auditeur de se focaliser sur les tâches difficiles à effectuer par les outils. En supposant, bien sûr, que l'outil en question soit efficace dans les tâches qui lui sont confiées. L'objectif est de réduire le temps nécessaire pour réaliser un audit de sécurité, tout en gardant un niveau d'efficacité convenable.
Pourquoi auditer en boîte noire des applications Web ? La complémentarité de l'approche boîte blanche et boîte noire n'est pas à démontrer. Le principal avantage de l'approche en boîte noire est de se focaliser sur les points d'entrées accessibles par une personne malveillante. Alors qu'en boîte blanche, il faut en premier identifier les points d'entrées possibles avec la lecture du code source, ce qui est parfois un peu plus complexe en pratique (car l'auditeur doit s'adapter à la « logique » de programmation que les développeurs ont adoptée).
Enfin, un outil...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Techniques et outils d'audit
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
• Agarri – Spécialisée dans les aspects offensifs de la sécurité de l'information http://www.agarri.fr
• Alexa – Fournit des informations sur les sites Web http://www.alexa.com
• BEFF – The Browser Exploitation Framework Project – Utiliser le cryptage XSS http://www.beefproject.com
• Clang Clangage Family Frontend for UVM – Interface de bas niveau au compilateur clang et utilisant les bibliothèques LLVM https://clang.llvm.org/
• Computer Science Division EECS de l'université de Berkeley http://www.cs.berkeley.edu
• CVE Common Vilnerabilities and Exposures – Dictionnaire informatif sur les vulnérabilités informatiques à l'usage du public http://www.cve.mitre.org
• Department of Computer Science http://www.cs.ucsb.edu
• Exploits Database – Archive des logiciels vulnérables http://www.exploit-db.com
• FindBuggs – Logiciel libre d'analyse statique de bytecode Java http://www.findbugs.sourceforge.net
• Google Code – Site google de développement http://www.code.google.com
• ha.ckers – Laboratoire d'applications Web de sécurité informatique
• Microsoft http://www.microsoft.com
• NIST – National Institute of Standards and Technology Dossier « Audits de...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive