Attaques

Pentest web et OWASP

Un pentest web identifie et analyse les vulnérabilités d'une application afin d'améliorer sa sécurité. Il doit être réalisé uniquement dans un cadre légal, éthique et explicitement autorisé.

Objectifs

Un audit web vise à :

  • identifier les vulnérabilités
  • évaluer les risques
  • vérifier les mécanismes de sécurité
  • fournir des recommandations de correction

Le but n'est pas d'endommager l'application, mais d'améliorer sa sécurité.

Méthodologie générale

1. Collecte d'informations

Analyse de l'application, son architecture, ses technologies et ses points d'entrée.

2. Recherche de vulnérabilités

Recherche de mauvaises configurations, failles applicatives, problèmes d'authentification ou erreurs de contrôle d'accès.

3. Analyse du risque

Évaluation de l'impact, de la facilité d'exploitation et des conséquences métier.

4. Rapport

Documentation des vulnérabilités, criticités, preuves et recommandations.

OWASP

L'OWASP, Open Web Application Security Project, est une référence majeure en sécurité applicative.

Son projet le plus connu est l'OWASP Top 10, une liste des grandes catégories de vulnérabilités web.

Exemples de catégories

  • contrôle d'accès défaillant
  • mauvaise configuration de sécurité
  • défaillances cryptographiques
  • injection
  • échecs d'authentification
  • journalisation insuffisante

Ce qu'il faut cadrer

Avant un test, il faut définir :

  • périmètre technique
  • comptes de test
  • données autorisées
  • plages horaires
  • niveau d'agressivité
  • actions interdites
  • contact d'urgence
  • format du rapport

Le cadrage protège le client, le testeur et la disponibilité du service.

Preuves proportionnées

Une preuve doit montrer le risque sans causer de dommage inutile.

Bonnes pratiques :

  • minimiser les données consultées
  • éviter les actions destructrices
  • anonymiser les captures si possible
  • expliquer la cause racine
  • proposer une correction réaliste
  • indiquer comment vérifier la correction

Bonnes pratiques

  • définir clairement le périmètre
  • obtenir une autorisation écrite
  • éviter toute action destructive
  • documenter les étapes
  • classer les vulnérabilités par criticité
  • respecter la confidentialité des données observées

Cadre autorisé

Un pentest web sans autorisation explicite peut être illégal, même si l'intention est pédagogique.

Précédent
Attaques web
Suivant
Proxy