Avant-propos par Eoin Keary

L'importance des tests de sécurité des applications web et le rôle du guide de test OWASP pour améliorer la sécurité du code.

Introduction

Le problème des logiciels non sécurisés est peut-être le défi technique le plus important de notre époque. L'essor spectaculaire des applications web permettant le commerce, les réseaux sociaux, etc. n'a fait qu'accroître les exigences pour établir une approche robuste de l'écriture et de la sécurisation de notre Internet, de nos applications web et de nos données.

A l'Open Web Application Security Project® (OWASP®), nous essayons de faire du monde un endroit où les logiciels non sécurisés sont l'anomalie, et non la norme. Le guide de test OWASP a un rôle important à jouer dans la résolution de ce problème grave. Il est vital que notre approche des tests de logiciels pour les problèmes de sécurité soit basée sur les principes de l'ingénierie et de la science. Nous avons besoin d'une approche cohérente, reproductible et définie pour tester les applications web. Un monde sans normes minimales en termes d'ingénierie et de technologie est un monde en chaos.

Il va sans dire que vous ne pouvez pas construire une application sécurisée sans effectuer de tests de sécurité sur celle-ci. Les tests font partie d'une approche plus large pour construire un système sécurisé. De nombreuses organisations de développement de logiciels n'incluent pas les tests de sécurité dans leur processus standard de développement de logiciels. Ce qui est encore pire, c'est que de nombreux fournisseurs de sécurité proposent des tests avec des degrés de qualité et de rigueur variables.

Les tests de sécurité, en eux-mêmes, ne sont pas une mesure particulièrement bonne et autonome de la sécurité d'une application, car il existe un nombre infini de façons dont un attaquant pourrait faire échouer une application, et il n'est tout simplement pas possible de toutes les tester. Nous ne pouvons pas nous pirater nous-mêmes pour devenir sécurisés, car nous n'avons qu'un temps limité pour tester et défendre, alors qu'un attaquant n'a pas de telles contraintes.

En conjonction avec d'autres projets OWASP tels que le guide de revue de code, le guide de développement et des outils tels que ZAP, c'est un excellent début pour construire et maintenir des applications sécurisées. Ce guide de test vous montrera comment vérifier la sécurité de votre application en cours d'exécution. Je recommande fortement d'utiliser ces guides dans le cadre de vos initiatives de sécurité des applications.

Pourquoi OWASP ?

Créer un guide comme celui-ci est une entreprise énorme, nécessitant l'expertise de centaines de personnes à travers le monde. Il existe de nombreuses façons différentes de tester les failles de sécurité et ce guide capture le consensus des principaux experts sur la façon d'effectuer ces tests rapidement, précisément et efficacement. OWASP donne aux personnes partageant les mêmes idées en matière de sécurité la possibilité de travailler ensemble et de former une approche de pointe pour résoudre un problème de sécurité.

L'importance de rendre ce guide disponible de manière totalement gratuite et ouverte est essentielle pour la mission de la fondation. Il donne à chacun la possibilité de comprendre les techniques utilisées pour tester les problèmes de sécurité courants. La sécurité ne doit pas être un art noir ou un secret fermé que seuls quelques-uns peuvent pratiquer. Elle doit être ouverte à tous et non exclusive aux professionnels de la sécurité, mais aussi à l'assurance qualité, aux développeurs et aux responsables techniques. Le projet de construction de ce guide conserve cette expertise entre les mains des personnes qui en ont besoin - vous, moi et toute personne impliquée dans la construction de logiciels.

Ce guide doit parvenir entre les mains des développeurs et des testeurs de logiciels. Il n'y a pas assez d'experts en sécurité des applications dans le monde pour avoir un impact significatif sur le problème global. La responsabilité initiale de la sécurité des applications doit incomber aux développeurs car ce sont eux qui écrivent le code. Il ne devrait pas être surprenant que les développeurs ne produisent pas de code sécurisé s'ils ne le testent pas ou ne considèrent pas les types de bogues qui introduisent des vulnérabilités.

Maintenir ces informations à jour est un aspect essentiel de ce projet de guide. En adoptant l'approche wiki, la communauté OWASP peut faire évoluer et étendre les informations contenues dans ce guide pour suivre le rythme rapide de l'évolution du paysage des menaces de sécurité des applications.

Ce guide est un excellent témoignage de la passion et de l'énergie que nos membres et bénévoles du projet ont pour ce sujet. Il contribuera certainement à changer le monde, une ligne de code à la fois.

Adaptation et priorisation

Vous devriez adopter ce guide dans votre organisation. Vous devrez peut-être adapter les informations pour qu'elles correspondent aux technologies, aux processus et à la structure organisationnelle de votre organisation.

En général, il existe plusieurs rôles différents au sein des organisations qui peuvent utiliser ce guide :

Les développeurs doivent utiliser ce guide pour s'assurer qu'ils produisent du code sécurisé. Ces tests doivent faire partie des procédures normales de code et de tests unitaires.
Les testeurs de logiciels et l'assurance qualité doivent utiliser ce guide pour étendre l'ensemble des cas de test qu'ils appliquent aux applications. Détecter ces vulnérabilités tôt permet d'économiser beaucoup de temps et d'efforts plus tard.
Les spécialistes de la sécurité doivent utiliser ce guide en combinaison avec d'autres techniques comme un moyen de vérifier qu'aucun trou de sécurité n'a été manqué dans une application.
Les chefs de projet doivent tenir compte de la raison pour laquelle ce guide existe et du fait que les problèmes de sécurité se manifestent par des bogues dans le code et la conception.

La chose la plus importante à retenir lors de l'exécution des tests de sécurité est de continuellement reprioriser. Il existe une infinité de façons dont une application peut échouer, et les organisations ont toujours un temps et des ressources de test limités. Assurez-vous que le temps et les ressources sont utilisés à bon escient. Essayez de vous concentrer sur les failles de sécurité qui représentent un risque réel pour votre entreprise. Essayez de contextualiser le risque en termes d'application et de ses cas d'utilisation.

Ce guide est mieux considéré comme un ensemble de techniques que vous pouvez utiliser pour trouver différents types de failles de sécurité. Mais toutes les techniques ne sont pas d'égale importance. Essayez d'éviter d'utiliser le guide comme une liste de contrôle, de nouvelles vulnérabilités se manifestent toujours et aucun guide ne peut être une liste exhaustive de "choses à tester", mais plutôt un excellent point de départ.

Le rôle des outils automatisés

Il existe un certain nombre d'entreprises qui vendent des outils automatisés d'analyse et de test de sécurité. N'oubliez pas les limites de ces outils afin de pouvoir les utiliser pour ce pour quoi ils sont bons. Comme l'a dit Michael Howard lors de la conférence OWASP AppSec 2006 à Seattle, "Les outils ne rendent pas les logiciels sécurisés ! Ils aident à mettre à l'échelle le processus et à faire respecter les politiques."

Plus important encore, ces outils sont génériques - ce qui signifie qu'ils ne sont pas conçus pour votre code personnalisé, mais pour les applications en général. Cela signifie que, bien qu'ils puissent trouver certains problèmes génériques, ils n'ont pas une connaissance suffisante de votre application pour leur permettre de détecter la plupart des failles. D'après mon expérience, les problèmes de sécurité les plus graves sont ceux qui ne sont pas génériques, mais profondément imbriqués dans votre logique métier et la conception de votre application personnalisée.

Ces outils peuvent également être très utiles, car ils trouvent de nombreux problèmes potentiels. Bien que l'exécution des outils ne prenne pas beaucoup de temps, chacun des problèmes potentiels prend du temps à examiner et à vérifier. Si l'objectif est de trouver et d'éliminer les failles les plus graves le plus rapidement possible, demandez-vous si votre temps est mieux dépensé avec des outils automatisés ou avec les techniques décrites dans ce guide. Néanmoins, ces outils font certainement partie d'un programme de sécurité des applications bien équilibré. Utilisés à bon escient, ils peuvent soutenir vos processus globaux pour produire un code plus sécurisé.

Appel à l'action

Si vous construisez, concevez ou testez des logiciels, je vous encourage fortement à vous familiariser avec les conseils de test de sécurité contenus dans ce document. C'est une excellente feuille de route pour tester les problèmes les plus courants auxquels les applications sont confrontées aujourd'hui, mais elle n'est pas exhaustive. Si vous trouvez des erreurs, veuillez ajouter une note à la page de discussion ou effectuer vous-même la modification. Vous aiderez des milliers d'autres personnes qui utilisent ce guide.

Veuillez envisager de nous rejoindre en tant que membre individuel ou corporatif afin que nous puissions continuer à produire des documents comme ce guide de test et tous les autres grands projets d'OWASP.

Merci à tous les contributeurs passés et futurs de ce guide, votre travail contribuera à rendre les applications plus sûres dans le monde entier.

--Eoin Keary, membre du conseil d'administration d'OWASP, 19 avril 2013

Open Web Application Security Project et OWASP sont des marques déposées de l'OWASP Foundation, Inc.

◄ Précédent Suivant ►

く

Table des matières

Avant-propos par Eoin Keary
Frontispice
Introduction
Le cadre de test OWASP
Test de sécurité des applications Web
1. Introduction et objectifs
2. Collecte d'informations
3. Test de gestion de la configuration et du déploiement
  1. Tester la configuration de l'infrastructure réseau
  2. Tester la configuration de la plateforme applicative
  3. Tester la gestion des extensions de fichiers pour les informations sensibles
  4. Examiner les anciens fichiers de sauvegarde et les fichiers non référencés pour les informations sensibles
  5. Enumérer les interfaces d'administration de l'infrastructure et de l'application
  6. Tester les méthodes HTTP
  7. Tester HTTP Strict Transport Security
  8. Tester la politique de domaine croisé RIA
  9. Tester les permissions de fichiers
  10. Tester la prise de contrôle de sous-domaine
  11. Tester le stockage Cloud
4. Test de gestion des identités
  1. Tester les définitions de rôle
  2. Tester le processus d'enregistrement des utilisateurs
  3. Tester le processus de provisionnement des comptes
  4. Test de l'énumération des comptes et des comptes utilisateurs devinables
  5. Test de la politique de nom d'utilisateur faible ou non appliquée
5. Test d'authentification
  1. Test du transport des informations d'identification sur un canal chiffré
  2. Test des informations d'identification par défaut
  3. Test du mécanisme de verrouillage faible
  4. Test de contournement du schéma d'authentification
  5. Test de la vulnérabilité du mot de passe mémorisé
  6. Test des faiblesses du cache du navigateur
  7. Test de la politique de mot de passe faible
  8. Test de la question/réponse de sécurité faible
  9. Test des fonctionnalités de modification ou de réinitialisation de mot de passe faibles
  10. Test de l'authentification plus faible dans un canal alternatif
6. Test d'autorisation
  1. Test de traversée de répertoire/inclusion de fichier
  2. Test de contournement du schéma d'autorisation
  3. Test d'escalade de privilèges
  4. Test des références d'objets directs non sécurisées
7. Test de la gestion de session
  1. Test du schéma de gestion de session
  2. Test des attributs de cookies
  3. Test de la fixation de session
  4. Test des variables de session exposées
  5. Test de la falsification de requête intersite (CSRF)
  6. Test de la fonctionnalité de déconnexion
  7. Test du délai d'expiration de la session
  8. Test de la confusion de session
  9. Test du détournement de session
8. Test de validation des entrées
  1. Test du Cross Site Scripting Réfléchi
  2. Test du Cross Site Scripting Stocké
  3. Test de l'altération du verbe HTTP
  4. Test de la pollution des paramètres HTTP
  5. Test de l'injection SQL
  6. Test pour Oracle
  7. Test pour MySQL
  8. Test pour SQL Server
  9. Test PostgreSQL
  10. Test pour MS Access
  11. Test pour NoSQL Injection
  12. Test pour ORM Injection
  13. Test côté client
  14. Test de l'injection LDAP
  15. Test de l'injection XML
  16. Test de l'injection SSI
  17. Test de l'injection XPath
  18. Test de l'injection IMAP/SMTP
  19. Test de l'injection de code
  20. Test de l'inclusion de fichier local
  21. Test de l'inclusion de fichier distant
  22. Test de l'injection de commande
  23. Test de l'injection de chaîne de format
  24. Test des vulnérabilités incubées
  25. Test du fractionnement/contrebande HTTP
  26. Test des requêtes HTTP entrantes
  27. Test de l'injection d'en-tête d'hôte
  28. Test de l'injection de modèle côté serveur
  29. Test de la falsification de requête côté serveur (SSRF)
9. Test de la gestion des erreurs
  1. Test de la gestion incorrecte des erreurs
  2. Test des traces de pile
10. Test de la cryptographie faible
  1. Test de la sécurité faible de la couche de transport
  2. Test de l'oracle de padding
  3. Test des informations sensibles envoyées via des canaux non chiffrés
  4. Test du chiffrement faible
11. Test de la logique métier
  1. Introduction à la logique métier
  2. Tester la validation des données de la logique métier
  3. Tester la capacité à falsifier des requêtes
  4. Tester les contrôles d'intégrité
  5. Test de la synchronisation des processus
  6. Tester le nombre de fois qu'une fonction peut être utilisée
  7. Test du contournement des flux de travail
  8. Tester les défenses contre l'utilisation abusive des applications
  9. Tester le téléchargement de types de fichiers inattendus
  10. Tester le téléchargement de fichiers malveillants
12. Test côté client
  1. Test du Cross-Site Scripting basé sur le DOM
  2. Test de l'exécution JavaScript
  3. Test de l'injection HTML
  4. Test de la redirection d'URL côté client
  5. Test de l'injection CSS
  6. Test de la manipulation des ressources côté client
  7. Test du partage de ressources inter-origines (CORS)
  8. Test du Cross-Site Flashing
  9. Test du Clickjacking
  10. Test des WebSockets
  11. Test de la messagerie Web
  12. Test du stockage du navigateur
  13. Test de l'inclusion de script inter-sites
13. Test de l'API
  1. Test de GraphQL
Reporting
Annexe
1. A. Ressources d'outils de test
2. B. Lectures suggérées
3. C. Vecteurs de fuzzing
4. D. Injection encodée
5. E. Historique
6. F. Utilisation des outils de développement