Web Application Penetration Assessment

Identification des vulnérabilités des sites web

Etapes suivantes :

Overview

D'après le NIST (National Institute of Standards and Technology), jusqu'à 92 % des vulnérabilités actuelles se situent au niveau de la couche Application. D'après notre expérience, neuf clients sur dix déplorent au moins une brèche grave dans leur sécurité susceptible de causer la divulgation de données clients ou la compromission totale d'un système. Le service Web Application Penetration Assessment de Foundstone évalue les sites web depuis le point de vue des pirates informatiques afin de détecter leurs failles avant qu'elles ne puissent être exploitées.

Foundstone fait figure de précurseur en matière de tests d'intrusion sur les applications web. Dans la lignée de notre ouvrage « Hacking Exposed » (« Halte aux hackers » dans la version traduite) consacré aux applications web, notre dernière parution, « How to Break Web Software » (Comment pirater des logiciels web), livre encore une fois notre pensée visionnaire en la matière. Nous continuerons à intégrer ce service dans notre gamme étendue de logiciels de sécurisation pour aider nos clients à concevoir et à développer des logiciels à la sécurité renforcée.

Nous avons mis au point et distribué de nombreux outils gratuits qui facilitent l'automatisation de différents aspects des tests. Citons notamment SSLDigger, qui teste la force de chiffrement et la configuration SSL des serveurs web, CookieDigger, qui vérifie le niveau de sécurité des cookies de session, ou encore SiteDigger, qui détermine si les moteurs de recherche tels que Google mettent en péril certaines de vos informations en ligne.

Le projet OWASP (Open Web Application Security Project) constitue à cet égard le point de référence de fait. Foundstone mène actuellement divers projets importants, parmi lesquels la création d'un standard pour les critères de test.

Principaux avantages

  • Détection des brèches de sécurité dans les sites web de production avant qu'elles ne soient découvertes par les pirates
  • Contrôles qualité visant à vérifier la sécurité des applications avant leur transfert vers l'environnement de production
  • Evaluation des risques et de leur incidence potentielle sur les activités de l'entreprise
  • Emploi d'une méthodologie de tests manuels détaillée et bien établie, garantissant précision et efficacité
  • Transfert des connaissances concernant les techniques de test appliquées, les problèmes identifiés et les mesures correctives

Methodology

Nous sommes conscients des limites importantes que présentent les outils de test automatisés tels les analyseurs d'applications web. C'est pourquoi nous effectuons et vérifions la majeure partie de nos tests manuellement, en suivant une méthodologie bien définie, reproductible et cohérente. Nous n'avons recours à des outils automatisés que dans des domaines d'évaluation où ils ont fait leurs preuves en termes d'efficacité et de précision (en général, cela représente moins de 5 % d'une mission). Nous avons par ailleurs sponsorisé un projet de recherche OWASP dont l'objectif est de mesurer les performances de ces outils automatisés.

Découverte — Nous coopérons avec vos équipes pour appréhender au mieux l'impact de diverses fonctionnalités pour l'entreprise, afin de pouvoir qualifier et quantifier le risque que posent les vulnérabilités que nous détectons.

Evaluation — Pour être certains que nos tests couvrent tous les domaines vitaux et pour garantir leur cohérence et leur reproductibilité, nous mettons en œuvre un cadre de sécurité commun portant sur les éléments suivants :

  • Authentification
  • Autorisation
  • Gestion des utilisateurs
  • Gestion des sessions
  • Validation des données, y compris pour toutes les attaques courantes telles que l'injection de code SQL, l'exécution forcée de scripts entre sites, l'injection de commandes et la validation côté client
  • Gestion des erreurs et des exceptions
  • Audit et journalisation

Rapports et éléments fournis — Au terme de la mission, vous recevez un rapport écrit détaillé contenant une synthèse des résultats classés par ordre de priorité et de leur impact sur votre entreprise. Chacune de nos conclusions techniques contient des détails et des recommandations spécifiques sur les mesures correctives à mettre en place.