Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Centre de sécurité Internet
Tests totaux:
Cette semaine:
Aujourd'hui:

Tests de sécurité des applications web

Temps de lecture:5 min.

Le test de sécurité des applications web est un type
de test logiciel non fonctionnel qui vise à détecter les vulnérabilités de l'application
testée et à évaluer le niveau de sécurité des données et du système face à diverses attaques.

Tests de sécurité des applications web
Tests de sécurité des applications web
Obtenir une démo

Les principaux objectifs des tests de sécurité des applications web

Les tests de sécurité des applications web font partie intégrante d'une sécurité complète. Ce processus consiste à démontrer que l'application répond aux exigences de sécurité de toutes les parties intéressées. Les tests visent à diagnostiquer les voies de piratage, à évaluer la sécurité des applications web ou d'un site web, ainsi qu'à analyser les risques associés au traitement pour se protéger contre les intrusions et l'accès à des données confidentielles.

Vous souhaitez approfondir vos connaissances sur tous les aspects modernes des tests de sécurité des applications Web? Lisez attentivement cet article et ajoutez-le à vos favoris pour y revenir plus tard: nous mettons régulièrement cette page à jour.

Les principaux objectifs des tests de sécurité des applications web sont les suivants:

  • Sécurisation des transactions en ligne ;
  • Protection des informations confidentielles contre un accès non autorisé ;
  • Réduire au minimum le risque de perte, de déformation ou de vol de données ;
  • Résistance accrue aux attaques DoS.

Pour atteindre les objectifs de sécurité en matière d'assurance qualité, les spécialistes doivent auditer les menaces potentielles en fonction des spécificités du logiciel. Fondés sur les principes de confidentialité, de facilité d'accès et de continuité, les tests de sécurité des applications web contribuent à garantir la sécurité des informations, des comptes, des accès et des communications des utilisateurs. En évaluant les points faibles potentiels des éléments du système dans le cadre des tests de sécurité des applications web, une équipe d'ingénieurs QA doit vérifier la réaction réelle des mécanismes de défense du produit, puis proposer un ensemble de mesures visant à renforcer le niveau de sécurité des applications web contre les actions non autorisées.

De plus, toutes les exigences de base en matière de sécurité des applications web doivent être vérifiées et appliquées, afin de générer une liste de commentaires et de défauts avec une gradation selon la criticité des vulnérabilités.

Vulnérabilités identifiées par les tests de sécurité des applications web

Si ce sujet vous intéresse véritablement, vous devriez absolument commencer par étudier les principaux types de vulnérabilités des applications web. Vous trouverez une liste des plus courantes dans la liste OWASP Top 10. Il s'agit d'un projet open source créé par des passionnés de sécurité web. Ils publient des statistiques sur la popularité des vulnérabilités au cours des 3 à 4 dernières années.

Bien que l'OWASP ne prétende pas être normalisé, il est devenu une norme informelle pour tester les applications web. Il existe désormais de nombreux guides, dont le plus utile pour les testeurs de sécurité des applications web est le OWASP Testing Guide. Il s'agit de la base des bases, que vous devez au moins connaître.

Dans la plupart des cas, les vulnérabilités des applications web sont causées par des erreurs courantes de sécurité web qui peuvent coûter des millions. Actuellement, les types les plus courants de vulnérabilités de sécurité des logiciels sont les suivants:

Injection de code. Selon les statistiques, elle a infecté 28 % des entreprises. Cette vulnérabilité devient de moins en moins courante chaque année, mais reste la plus critique de toutes, car elle peut vous priver de l'intégralité de votre base de données. Cette vulnérabilité se divise en plusieurs vecteurs d'attaque:
 - injection via une commande du système d'exploitation ;
 - injections via des requêtes SQL, LDAP, XPath ;
 - injection via l'analyse XML.

À l’aide de ces vecteurs, un attaquant peut accéder à la fois à un compte et à l’ensemble de la base de données des clients de cette ressource. Pour mener l’attaque, seuls des caractères spéciaux et des opérateurs supplémentaires sont utilisés, en fonction du type de base de données SQL.

XSS (Cross-Site Scripting)Il s'agit d'une vulnérabilité des applications web qui permet aux attaquants de lancer des scripts malveillants sur une page générée par le serveur afin d'attaquer le système. C'est l'un des types de vulnérabilités des applications web qui permet à un script de fonctionner sur une page écrite en JS. Une telle vulnérabilité permet à un attaquant d'injecter son script dans votre application. Selon les statistiques, 40 % des entreprises qui ont passé les scanners présentent cette vulnérabilité. Dans le classement OWASP Top 10, elle occupe la 7e place. La raison de cette vulnérabilité est la confiance du développeur en ce que l'utilisateur ne fournira pas divers morceaux de code au site web.

Modèles DOM de XSS. Ce type de XSS est le plus dangereux de tous. Le XSS dans le modèle DOM apparaît côté client lors du traitement des données à l’intérieur de JavaScript lui-même. Ce type de XSS tire son nom du fait qu’il nécessite un Document Object Model (DOM) pour être exploité. Comme vous le comprenez, DOM est une abréviation. Grâce à lui, vous pouvez accéder au contenu des documents HTML et XML, voire modifier ce contenu: soit la structure du document, soit son apparence.

XSRF / CSRF (falsification de requêtes)Il s'agit d'un type de vulnérabilité qui permet d'exploiter les inconvénients du protocole HTTP, les attaquants fonctionnant selon le schéma suivant: un lien vers un site web malveillant est installé sur une page faisant confiance à l'utilisateur ; lorsqu'il clique sur le lien malveillant, un script est exécuté qui conserve les données personnelles de l'utilisateur (mots de passe, informations de facturation, etc.), soit en envoyant des messages SPAM au nom de l'utilisateur, soit en modifiant l'accès au compte utilisateur afin d'en prendre le contrôle total.

Contournement de l'autorisationIl s'agit d'un type de vulnérabilité dans lequel il est possible d'obtenir un accès non autorisé au compte ou aux documents d'un autre utilisateur.

Injection SSI (Server-Side Includes). Ce type de vulnérabilité utilise le lancement de commandes serveur directement depuis le serveur ou leur insertion dans le code HTML.

Typiquement, les tests de sécurité des applications web vérifient les paramètres suivants:

  • Cryptographie- détecte les problèmes liés au chiffrement, au déchiffrement, à la signature, à l'authentification, y compris au niveau des protocoles réseau, au traitement des fichiers temporaires et des cookies.
  • Authentification. Cela vous permet de vous assurer qu’il n’existe aucun moyen de contourner la procédure d’enregistrement et d’autorisation, de vérifier que la gestion des données utilisateur est correcte et d’exclure toute possibilité d’obtenir des informations sur les utilisateurs enregistrés et leurs identifiants.
  • Validation des valeurs d'entrée.Permet de vérifier les algorithmes de traitement des données, y compris les valeurs incorrectes, avant que l'application ne les référence.
  • Contrôle d'accès.Il identifie les problèmes liés à l'accès non autorisé des utilisateurs aux informations et aux fonctions, en fonction du rôle qui leur est attribué. Test de la configuration du modèle de rôle.
  • Test de résistance aux attaques DoS/DDoS.Il vérifie la capacité de l'application à gérer des charges élevées imprévues et de grandes quantités de données pouvant être envoyées afin de la désactiver.
  • Configuration du serveur.Ceci recherche les erreurs dans les processus multithreads liées à la disponibilité des valeurs des variables pour le partage par d'autres applications et requêtes.
  • Intégration avec des services tiers- vous permet de vérifier l'impossibilité de manipuler les données transmises entre l'application et des composants tiers, par exemple des systèmes de paiement ou des réseaux sociaux.
  • Mécanismes de gestion des erreurs,Cela inclut la vérification des erreurs système de l'application pour détecter l'absence de divulgation d'informations sur les mécanismes de sécurité internes (par exemple, en exposant des exceptions ou du code source).

Les applications web sont plus exposées aux risques de sécurité que les autres, car elles sont par définition accessibles depuis Internet. Tester la sécurité des applications web nécessite que l'exécutant ait une connaissance suffisamment approfondie de la programmation et du système d'exploitation, ce qui oblige les entreprises concernées à améliorer en permanence les compétences de leurs propres spécialistes. Avec l'évolution des technologies et des outils, l'apparition de nouvelles versions du système d'exploitation, les listes de contrôle de sécurité s'élargissent, et des articles décrivant les menaces de sécurité actuelles et les moyens de les corriger apparaissent régulièrement.

Quand faut-il auditer les applications?

  • Avant de lancer une nouvelle application métier ;
  • Lors de l’ajout d’add-ons à des applications existantes ;
  • Pour les applications critiques déjà utilisées avec la fréquence choisie ou lors de modifications ;
  • En cas d'incident lié au fonctionnement de l'application, et si on soupçonne
    un fonctionnement incorrect de l'application du point de vue de la sécurité de l'information.

Avant d’auditer les applications, il est judicieux de répertorier toutes celles dont vous disposez. ImmuniWeb Discovery vous aidera à trouver les applications expirées et vulnérables dans votre infrastructure externe.

Le niveau de sécurité de votre système sera évalué conformément à la norme internationale de sécurité OWASP. Nous effectuerons également un travail de conseil afin d’éliminer les vulnérabilités et les risques. En option, nous pouvons élaborer un calendrier de travail pour les opérateurs et les développeurs, ce qui vous permettra de protéger votre entreprise et les utilisateurs de vos ressources.

Votre tâche consiste désormais, lorsque le scanner détecte un nouveau type de vulnérabilité, à vous familiariser avec celle-ci, à découvrir comment elle se reproduit et quel est son niveau de gravité. Ainsi, lorsqu'une nouvelle vulnérabilité apparaît pendant les tests de sécurité des applications web, les informations détectées par le scanner accumulent des connaissances et de l'expérience qui vous permettront ensuite de rechercher les mêmes failles dans d'autres projets afin de sécuriser le produit.

Ressources supplémentaires

  • En savoir plus sur la gestion des surfaces d'attaque basée sur l'IA avec ImmuniWeb® Discovery
  • En savoir plus sur les tests de pénétration des applications basés sur l'IA avec ImmuniWeb
  • En savoir plus sur les opportunités du programme de partenariat ImmuniWeb
  • Suivez-nous sur LinkedIn, X, Telegram et WhatsApp
Démonstration gratuite Partager sur Twitter Partager sur LinkedIn

Réduisez vos risques cybernétiques

Veuillez remplir les champs surlignés en rouge ci-dessous.

Obtenez votre démonstration gratuite
d'ImmuniWeb® Plateforme
IA

  • Obtenez votre évaluation gratuite du risque cybernétique
  • Commencez un essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
  • Sans engagement
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
*
*
Privé et confidentielVos données seront privées et confidentielles.

Ce site Web utilise des cookies pour vous offrir une meilleure expérience de navigation. Pour en savoir plus, consultez notre politique de confidentialité. En continuant à utiliser ce site Web, vous consentez à notre utilisation des cookies.

Parlez à un expert