OWASP Testing guide : Référence de la sécurité des webapps

Je vous présente souvent sur mon blog des ressources permettant d’acquérir des connaissances en sécurité informatique. Aujourd’hui je vous présente l’OWASP Testing guide, une référence dans le domaine de la sécurité des applications web

Il faut tout d’abord savoir que les applications web, et les failles de sécurité qu’elles contiennent, sont le vecteur majoritaire d’intrusion dans les systèmes d’information depuis de nombreuses années. En effet, une très grande majorité de service passent aujourd’hui par le web pour fonctionner, tendance intensifiée notamment par l’avènement des services en mode Cloud.

La criticité croissante des applications web en font des cibles de choix pour les attaquants. Il est donc important, en tant qu’auditeur, pentester ou RSSI, de porter une attention particulière à la sécurité de ces applications web.

owasp-testing-guide

L’OWASP (Open Web Application Security Project) est une communauté travaillant dans le sens de la sécurité des applications web, son but est la sensibilisation et l’information autour de la sécurité des applications web. Elle édite notamment des logiciels d’audit comme le Proxy WebScarab et des guides de sécurité comme l’OWASP Code Review Guide ou l’OWASP Testing Guide.

Ayant lu ce dernier, j’en profite pour vous en parler.

L’OWASP Testing Guide est un livre de plus de 200 pages créé par l’OWASP avec pour but d’aider une personne à évaluer le niveau de sécurité d’une application web. La mission principale de l’OWASP au travers l’édition de Testing Guide est d’apporter une meilleure visibilité à la sécurité des applications web. Ici, plusieurs acteurs sont concernés :

  • Les auditeurs en sécurité et pentester qui pourront améliorer leur technique d’audit et la qualité de leur prestation
  • Les développeurs, acteurs principaux de la conception des applications web.

Pour commencer, je doit avouer qu’en tant qu’étudiant souhaitant apprendre la sécurité et l’art du pentesting, sa lecture est plus qu’intéressante et instructive.

Le livre est découpé en plusieurs sections qui retracent l’avancée d’un attaquant s’intéressant à une application web :

  • Prise d’informations (Information gathering)
  • Gestion de la configuration et de l’installation (Configuration and deployment management testing)
  • Gestion des identités (Identity management testing)
  • Gestion de l’authentification (Authentication testing)
  • Gestion des autorisations (Authorization testing)
  • Gestion des sessions (Session management testing)
  • Gestion des entrées (Input validation testing)
  • Gestion des erreurs (Testing for error handling)
  • Attaque sur la cryptographie (Testing for weak cryptography)
  • Test de la logique business (Business logic testing)
  • Test du côté client (Client side testing)

Cette approche par section permet à chaque fois de comprendre en quoi chaque brique d’une application web est importante et surtout, on y retrouve des informations à destination des auditeurs et des développeurs sur comment améliorer la sécurité de ces applications web.

Je ne peux que vous conseiller la lecture de l’OWASP Testing Guide, la version 4 a été diffusée le 17 septembre 2014 et sa rédaction a été dirigée par Matteo Meucci et Andrew Muller.

Si vous souhaitez lire l’OWASP Testing guide v4, ce que je vous conseille, voici les liens :
– PDF : https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
– Web : https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents

Bonne lecture !

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *