accueilLogicielsDéveloppement et Qualité LogicielsFailles de sécurité des applications Web
 

Audit


 Pendant la phase de développement, les tests unitaires permettent de vérifier le comportement d’une fonction de l’application. Ils peuvent être utilisés pour s’assurer que les règles de développement citées précédemment sont respectées. En complément, les outils d’intégration continue, tels que « Jetkins » ou « Hudson », permettent de vérifier à chaque modification de code qu’elle n’engendre pas de régression. L’utilisation conjointe de cette panoplie d’outils facilite les audits de code et permettent même de les automatiser lors des phases de maintenance.
De plus, l’OWASP offre des outils de test du code et du comportement des applications Web. Ainsi, l’outil « Code Crawler » permet d’analyser le code d’applications .NET et Java. « WebScarab » agit comme un serveur proxy et permet à l’auditeur d’analyser les échanges http pour chercher des failles de sécurité. « Zed Attack Proxy » est un scanner qui permet de détecter automatiquement certaines vulnérabilités. Quant au WASC, il ne fournit pas d’outil, mais un guide pour comparer les différentes offres commerciales ou non d’automatisation de détection des problèmes liés à la sécurité des applications Web.

 Par ailleurs, en condition opérationnelle, les fichiers de journalisation des différents composants de l’architecture doivent faire l’objet d’un audit régulier afin de s’assurer que l’application ou le serveur n’a pas été victime de tentative d’attaque par la force brute.

 

Retour vers le haut de la page   PDF
Article précédent Page d'accueil Article suivant
< Configuration des composants serveur Sommaire | Conclusion >

 

Guillaume HARRY
Envoyer un courriel

 

Contenu sous licence Creative Commons CC-BY-NC-ND


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits