Évaluation des vulnérabilités des applications web : OWASP Top 10 et au-delà

Couverture de l'OWASP Top 10

Chaque évaluation d'application web doit couvrir l'OWASP Top 10 : Contrôle d'accès défectueux (A01), Défaillances cryptographiques (A02), Injection (A03), Conception non sécurisée (A04), Configuration de sécurité incorrecte (A05), Composants vulnérables (A06), Défaillances d'authentification (A07), Défaillances d'intégrité des logiciels et des données (A08), Défaillances de journalisation (A09) et SSRF (A10). Les outils DAST tels que Burp Suite et ZAP automatisent la détection de la plupart des catégories OWASP Top 10.

Au-delà de l'OWASP Top 10

Le Top 10 est un minimum – les vulnérabilités web les plus courantes, pas les seules. Une évaluation complète doit également évaluer : les failles de logique métier spécifiques aux flux de travail de votre application, les vulnérabilités spécifiques aux API (BOLA, BFLA, limitation du débit), la profondeur de l'authentification et de la gestion des sessions, la sécurité du téléchargement et du téléchargement de fichiers, et la sécurité de l'intégration de tiers. Ces catégories nécessitent des tests manuels – aucun scanner ne détecte de manière fiable les failles de logique métier.

DAST vs SAST pour les applications web

DAST (Dynamic Application Security Testing) teste l'application en cours d'exécution de l'extérieur, comme le ferait un attaquant. SAST (Static Application Security Testing) analyse le code source à la recherche de modèles indiquant des vulnérabilités. Les deux trouvent différentes classes de problèmes. DAST trouve les problèmes de configuration et de déploiement d'exécution. SAST trouve les failles au niveau du code plus tôt dans le cycle de vie. Utilisez les deux pour une couverture complète.

Évaluation d'application web avec Penetrify

Les tests d'application web de Penetrify combinent l'analyse DAST pour la couverture OWASP Top 10 avec des tests manuels d'experts pour la logique métier, l'authentification et les vulnérabilités spécifiques aux API – les catégories que les scanners manquent et qui représentent le risque réel le plus élevé.

Conclusion

L'évaluation de la vulnérabilité des applications web doit couvrir l'OWASP Top 10 par le biais d'une analyse automatisée, ainsi que la logique métier et les tests d'API par le biais d'une analyse manuelle. Penetrify offre les deux niveaux.

Foire aux questions

Que doit couvrir une évaluation de la vulnérabilité d'une application web ?

Au minimum : les catégories OWASP Top 10 par le biais d'une analyse automatisée, ainsi que les tests de logique métier, l'analyse de l'authentification et la sécurité des API par le biais de tests manuels. Penetrify couvre les deux niveaux dans chaque engagement.