Introduction et objectifs

Introduction à la méthodologie de test de sécurité des applications web OWASP, expliquant les concepts de vulnérabilité, de menace et de test, ainsi que l'approche collaborative du guide.

Qu'est-ce que le test de sécurité des applications web ?

Un test de sécurité est une méthode d'évaluation de la sécurité d'un système informatique ou d'un réseau en validant et en vérifiant méthodiquement l'efficacité des contrôles de sécurité des applications. Un test de sécurité d'application web se concentre uniquement sur l'évaluation de la sécurité d'une application web. Le processus implique une analyse active de l'application pour détecter toute faiblesse, faille technique ou vulnérabilité. Tous les problèmes de sécurité détectés seront présentés au propriétaire du système, accompagnés d'une évaluation de l'impact, d'une proposition d'atténuation ou d'une solution technique.

Qu'est-ce qu'une vulnérabilité ?

Une vulnérabilité est une faille ou une faiblesse dans la conception, la mise en oeuvre, le fonctionnement ou la gestion d'un système qui pourrait être exploitée pour compromettre les objectifs de sécurité du système.

Qu'est-ce qu'une menace ?

Une menace est tout ce qui (un attaquant externe malveillant, un utilisateur interne, une instabilité du système, etc.) peut nuire aux actifs détenus par une application (ressources de valeur, telles que les données d'une base de données ou du système de fichiers) en exploitant une vulnérabilité.

Qu'est-ce qu'un test ?

Un test est une action visant à démontrer qu'une application répond aux exigences de sécurité de ses parties prenantes.

L'approche de la rédaction de ce guide

L'approche OWASP est ouverte et collaborative :

Ouverte : chaque expert en sécurité peut participer avec son expérience au projet. Tout est gratuit.
Collaborative : un brainstorming est effectué avant la rédaction des articles afin que l'équipe puisse partager des idées et développer une vision collective du projet. Cela signifie un consensus approximatif, un public plus large et une participation accrue.

Cette approche tend à aboutir à une méthodologie de test définie qui sera :

Cohérente
Reproductible
Rigoureuse
Sous contrôle qualité

Les problèmes à résoudre sont entièrement documentés et testés. Il est important d'utiliser diverses méthodes pour tester toutes les vulnérabilités connues et documenter toutes les activités de test de sécurité.

Quelle est la méthodologie de test OWASP ?

Les tests de sécurité ne seront jamais une science exacte où une liste complète de tous les problèmes possibles qui devraient être testés peut être définie. En fait, les tests de sécurité ne sont qu'une des nombreuses techniques appropriées pour tester la sécurité des applications web dans certaines circonstances. Le but de ce projet est de collecter toutes les techniques de test possibles, d'expliquer ces techniques et de maintenir le guide à jour. La méthodologie de test de sécurité des applications web OWASP est basée sur l'approche de la boîte noire. Le testeur a peu ou pas d'informations sur l'application à tester.

Le modèle de test se compose de :

Testeur : Qui effectue les activités de test
Outils et méthodologie : Le coeur de ce projet de guide de test
Application : La boîte noire à tester

Les tests peuvent être classés comme passifs ou actifs :

Tests passifs

Pendant les tests passifs, un testeur essaie de comprendre la logique de l'application et explore l'application en tant qu'utilisateur final. Des outils peuvent être utilisés pour la collecte d'informations. Par exemple, un proxy HTTP(S) peut être utilisé pour observer toutes les requêtes et réponses HTTP(S). A la fin de cette phase, le testeur doit généralement comprendre tous les points d'accès et les fonctionnalités du système (par exemple, les en-têtes HTTP, les paramètres, les cookies, les API, l'utilisation/les modèles de technologie, etc.). La section Collecte d'informations explique comment effectuer des tests passifs.

Par exemple, un testeur peut trouver une page à l'URL suivante : https://www.example.com/login/auth_form

Cela peut indiquer un formulaire d'authentification où l'application demande un nom d'utilisateur et un mot de passe.

Les paramètres suivants représentent deux points d'accès à l'application : https://www.example.com/appx?a=1&b=1

Dans ce cas, l'application a deux points d'accès (paramètres a et b). Tous les points d'entrée trouvés dans cette phase représentent des cibles pour les tests. Garder une trace du répertoire ou de l'arborescence d'appels de l'application et de tous les points d'accès peut être utile pendant les tests actifs.

Tests actifs

Pendant les tests actifs, un testeur utilise les méthodologies décrites dans les sections suivantes.

L'ensemble des tests actifs a été divisé en 12 catégories :

Collecte d'informations
Test de la gestion de la configuration et du déploiement
Test de la gestion des identités
Test de l'authentification
Test de l'autorisation
Test de la gestion des sessions
Test de la validation des entrées
Test de la gestion des erreurs
Test de la cryptographie faible
Test de la logique métier
Test côté client
Test des API

◄ Précédent Suivant ►

く

Table des matières

Avant-propos par Eoin Keary
Frontispice
Introduction
Le cadre de test OWASP
Test de sécurité des applications Web
1. Introduction et objectifs
2. Collecte d'informations
3. Test de gestion de la configuration et du déploiement
  1. Tester la configuration de l'infrastructure réseau
  2. Tester la configuration de la plateforme applicative
  3. Tester la gestion des extensions de fichiers pour les informations sensibles
  4. Examiner les anciens fichiers de sauvegarde et les fichiers non référencés pour les informations sensibles
  5. Enumérer les interfaces d'administration de l'infrastructure et de l'application
  6. Tester les méthodes HTTP
  7. Tester HTTP Strict Transport Security
  8. Tester la politique de domaine croisé RIA
  9. Tester les permissions de fichiers
  10. Tester la prise de contrôle de sous-domaine
  11. Tester le stockage Cloud
4. Test de gestion des identités
  1. Tester les définitions de rôle
  2. Tester le processus d'enregistrement des utilisateurs
  3. Tester le processus de provisionnement des comptes
  4. Test de l'énumération des comptes et des comptes utilisateurs devinables
  5. Test de la politique de nom d'utilisateur faible ou non appliquée
5. Test d'authentification
  1. Test du transport des informations d'identification sur un canal chiffré
  2. Test des informations d'identification par défaut
  3. Test du mécanisme de verrouillage faible
  4. Test de contournement du schéma d'authentification
  5. Test de la vulnérabilité du mot de passe mémorisé
  6. Test des faiblesses du cache du navigateur
  7. Test de la politique de mot de passe faible
  8. Test de la question/réponse de sécurité faible
  9. Test des fonctionnalités de modification ou de réinitialisation de mot de passe faibles
  10. Test de l'authentification plus faible dans un canal alternatif
6. Test d'autorisation
  1. Test de traversée de répertoire/inclusion de fichier
  2. Test de contournement du schéma d'autorisation
  3. Test d'escalade de privilèges
  4. Test des références d'objets directs non sécurisées
7. Test de la gestion de session
  1. Test du schéma de gestion de session
  2. Test des attributs de cookies
  3. Test de la fixation de session
  4. Test des variables de session exposées
  5. Test de la falsification de requête intersite (CSRF)
  6. Test de la fonctionnalité de déconnexion
  7. Test du délai d'expiration de la session
  8. Test de la confusion de session
  9. Test du détournement de session
8. Test de validation des entrées
  1. Test du Cross Site Scripting Réfléchi
  2. Test du Cross Site Scripting Stocké
  3. Test de l'altération du verbe HTTP
  4. Test de la pollution des paramètres HTTP
  5. Test de l'injection SQL
  6. Test pour Oracle
  7. Test pour MySQL
  8. Test pour SQL Server
  9. Test PostgreSQL
  10. Test pour MS Access
  11. Test pour NoSQL Injection
  12. Test pour ORM Injection
  13. Test côté client
  14. Test de l'injection LDAP
  15. Test de l'injection XML
  16. Test de l'injection SSI
  17. Test de l'injection XPath
  18. Test de l'injection IMAP/SMTP
  19. Test de l'injection de code
  20. Test de l'inclusion de fichier local
  21. Test de l'inclusion de fichier distant
  22. Test de l'injection de commande
  23. Test de l'injection de chaîne de format
  24. Test des vulnérabilités incubées
  25. Test du fractionnement/contrebande HTTP
  26. Test des requêtes HTTP entrantes
  27. Test de l'injection d'en-tête d'hôte
  28. Test de l'injection de modèle côté serveur
  29. Test de la falsification de requête côté serveur (SSRF)
9. Test de la gestion des erreurs
  1. Test de la gestion incorrecte des erreurs
  2. Test des traces de pile
10. Test de la cryptographie faible
  1. Test de la sécurité faible de la couche de transport
  2. Test de l'oracle de padding
  3. Test des informations sensibles envoyées via des canaux non chiffrés
  4. Test du chiffrement faible
11. Test de la logique métier
  1. Introduction à la logique métier
  2. Tester la validation des données de la logique métier
  3. Tester la capacité à falsifier des requêtes
  4. Tester les contrôles d'intégrité
  5. Test de la synchronisation des processus
  6. Tester le nombre de fois qu'une fonction peut être utilisée
  7. Test du contournement des flux de travail
  8. Tester les défenses contre l'utilisation abusive des applications
  9. Tester le téléchargement de types de fichiers inattendus
  10. Tester le téléchargement de fichiers malveillants
12. Test côté client
  1. Test du Cross-Site Scripting basé sur le DOM
  2. Test de l'exécution JavaScript
  3. Test de l'injection HTML
  4. Test de la redirection d'URL côté client
  5. Test de l'injection CSS
  6. Test de la manipulation des ressources côté client
  7. Test du partage de ressources inter-origines (CORS)
  8. Test du Cross-Site Flashing
  9. Test du Clickjacking
  10. Test des WebSockets
  11. Test de la messagerie Web
  12. Test du stockage du navigateur
  13. Test de l'inclusion de script inter-sites
13. Test de l'API
  1. Test de GraphQL
Reporting
Annexe
1. A. Ressources d'outils de test
2. B. Lectures suggérées
3. C. Vecteurs de fuzzing
4. D. Injection encodée
5. E. Historique
6. F. Utilisation des outils de développement