La nécessité d'une approche équilibrée

Discussion sur l'importance d'une approche équilibrée des tests de sécurité, combinant différentes techniques et intégrant les tests tout au long du SDLC. Limitations des scanners automatisés.

Introduction

Avec autant de techniques et d'approches pour tester la sécurité des applications web, il peut être difficile de comprendre quelles techniques utiliser ou quand les utiliser. L'expérience montre qu'il n'y a pas de bonne ou de mauvaise réponse à la question de savoir exactement quelles techniques doivent être utilisées pour construire un cadre de test. En fait, toutes les techniques doivent être utilisées pour tester tous les domaines qui doivent être testés.

Bien qu'il soit clair qu'il n'existe pas de technique unique qui puisse être mise en oeuvre pour couvrir efficacement tous les tests de sécurité et garantir que tous les problèmes ont été résolus, de nombreuses entreprises n'adoptent qu'une seule approche. L'approche unique utilisée a historiquement été le test d'intrusion. Les tests d'intrusion, bien qu'utiles, ne peuvent pas résoudre efficacement bon nombre des problèmes qui doivent être testés. C'est tout simplement "trop peu, trop tard" dans le SDLC.

La bonne approche est une approche équilibrée qui comprend plusieurs techniques, des revues manuelles aux tests techniques, en passant par les tests intégrés CI/CD. Une approche équilibrée doit couvrir les tests dans toutes les phases du SDLC. Cette approche tire parti des techniques les plus appropriées disponibles, en fonction de la phase SDLC actuelle.

Bien sûr, il y a des moments et des circonstances où une seule technique est possible. Par exemple, considérons un test d'une application web qui a déjà été créée, mais où la partie test n'a pas accès au code source. Dans ce cas, les tests d'intrusion sont clairement meilleurs que l'absence totale de tests. Cependant, les parties chargées des tests doivent être encouragées à remettre en question les hypothèses, telles que le fait de ne pas avoir accès au code source, et à explorer la possibilité de tests plus complets.

Une approche équilibrée varie en fonction de nombreux facteurs, tels que la maturité du processus de test et la culture d'entreprise. Il est recommandé qu'un cadre de test équilibré ressemble aux représentations illustrées à la figure 3 et à la figure 4. La figure suivante montre une représentation proportionnelle typique superposée au SLDC. Conformément à la recherche et à l'expérience, il est essentiel que les entreprises mettent davantage l'accent sur les premières étapes du développement.

Proportion de l'effort de test dans le SDLC

Figure 2-3 : Proportion de l'effort de test dans le SDLC

La figure suivante montre une représentation proportionnelle typique superposée aux techniques de test.

Proportion de l'effort de test en fonction de la technique de test

Figure 2-4 : Proportion de l'effort de test en fonction de la technique de test

Remarque concernant les scanners d'applications web

De nombreuses organisations ont commencé à utiliser des scanners d'applications web automatisés. Bien qu'ils aient incontestablement leur place dans un programme de test, certains problèmes fondamentaux doivent être soulignés quant aux raisons pour lesquelles on pense que l'automatisation des tests en boîte noire n'est pas (et ne sera jamais) complètement efficace. Cependant, la mise en évidence de ces problèmes ne doit pas décourager l'utilisation de scanners d'applications web. L'objectif est plutôt de s'assurer que les limitations sont comprises et que les cadres de test sont planifiés de manière appropriée.

Il est utile de comprendre l'efficacité et les limitations des outils automatisés de détection des vulnérabilités. A cette fin, le OWASP Benchmark Project est une suite de tests conçue pour évaluer la vitesse, la couverture et la précision des outils et services automatisés de détection des vulnérabilités logicielles. L'analyse comparative peut aider à tester les capacités de ces outils automatisés et à rendre leur utilité explicite.

Les exemples suivants montrent pourquoi les tests automatisés en boîte noire peuvent ne pas être efficaces.

Exemple 1 : Paramètres magiques

Imaginez une application web simple qui accepte une paire nom-valeur de "magic" puis la valeur. Pour simplifier, la requête GET peut être : https://www.host/application?magic=value

Pour simplifier encore l'exemple, les valeurs dans ce cas ne peuvent être que des caractères ASCII a – z (majuscules ou minuscules) et des entiers 0 – 9.

Les concepteurs de cette application ont créé une porte dérobée administrative pendant les tests, mais l'ont obscurcie pour empêcher l'observateur occasionnel de la découvrir. En soumettant la valeur sf8g7sfjdsurtsdieerwqredsgnfg8d (30 caractères), l'utilisateur sera alors connecté et se verra présenter un écran administratif avec un contrôle total de l'application. La requête HTTP est maintenant : https://www.host/application?magic=sf8g7sfjdsurtsdieerwqredsgnfg8d

Etant donné que tous les autres paramètres étaient de simples champs de deux et trois caractères, il n'est pas possible de commencer à deviner des combinaisons d'environ 28 caractères. Un scanner d'applications web devra forcer brutalement (ou deviner) tout l'espace de clés de 30 caractères. Cela représente jusqu'à 30^28 permutations, soit des billions de requêtes HTTP. C'est un électron dans une botte de foin numérique.

Le code de cet exemple de vérification de paramètre magique peut ressembler à ce qui suit :

public void doPost( HttpServletRequest request, HttpServletResponse response) {
    String magic = "sf8g7sfjdsurtsdieerwqredsgnfg8d";
    boolean admin = magic.equals( request.getParameter("magic"));
    if (admin) doAdmin( request, response);
    else … // normal processing
}

En regardant le code, la vulnérabilité saute pratiquement aux yeux comme un problème potentiel.

Exemple 2 : Mauvaise cryptographie

La cryptographie est largement utilisée dans les applications web. Imaginez qu'un développeur ait décidé d'écrire un algorithme de cryptographie simple pour connecter automatiquement un utilisateur du site A au site B. Dans sa sagesse, le développeur décide que si un utilisateur est connecté au site A, il générera une clé en utilisant une fonction de hachage MD5 qui comprend : Hash { nom d'utilisateur : date }.

Lorsqu'un utilisateur est transféré vers le site B, il enverra la clé dans la chaîne de requête au site B dans une redirection HTTP. Le site B calcule indépendamment le hachage et le compare au hachage transmis dans la requête. S'ils correspondent, le site B connecte l'utilisateur en tant qu'utilisateur qu'il prétend être.

Au fur et à mesure que le schéma est expliqué, les insuffisances peuvent être déterminées. Quiconque découvre le schéma (ou se fait dire comment il fonctionne, ou télécharge les informations de Bugtraq) peut se connecter en tant que n'importe quel utilisateur. Une inspection manuelle, telle qu'une revue ou une inspection du code, aurait rapidement découvert ce problème de sécurité. Un scanner d'applications web en boîte noire n'aurait pas découvert la vulnérabilité. Il aurait vu un hachage de 128 bits qui changeait avec chaque utilisateur et, de par la nature des fonctions de hachage, ne changeait d'aucune manière prévisible.

Remarque concernant les outils d'analyse statique du code source

De nombreuses organisations ont commencé à utiliser des scanners de code source statiques. Bien qu'ils aient incontestablement leur place dans un programme de test complet, il est nécessaire de souligner certains problèmes fondamentaux expliquant pourquoi cette approche n'est pas efficace lorsqu'elle est utilisée seule. L'analyse statique du code source seule ne peut pas identifier les problèmes dus à des défauts de conception, car elle ne peut pas comprendre le contexte dans lequel le code est construit. Les outils d'analyse du code source sont utiles pour déterminer les problèmes de sécurité dus à des erreurs de codage, mais un effort manuel important est nécessaire pour valider les résultats.

◄ Précédent Suivant ►

く

Table des matières

Avant-propos par Eoin Keary
Frontispice
Introduction
Le cadre de test OWASP
Test de sécurité des applications Web
1. Introduction et objectifs
2. Collecte d'informations
3. Test de gestion de la configuration et du déploiement
  1. Tester la configuration de l'infrastructure réseau
  2. Tester la configuration de la plateforme applicative
  3. Tester la gestion des extensions de fichiers pour les informations sensibles
  4. Examiner les anciens fichiers de sauvegarde et les fichiers non référencés pour les informations sensibles
  5. Enumérer les interfaces d'administration de l'infrastructure et de l'application
  6. Tester les méthodes HTTP
  7. Tester HTTP Strict Transport Security
  8. Tester la politique de domaine croisé RIA
  9. Tester les permissions de fichiers
  10. Tester la prise de contrôle de sous-domaine
  11. Tester le stockage Cloud
4. Test de gestion des identités
  1. Tester les définitions de rôle
  2. Tester le processus d'enregistrement des utilisateurs
  3. Tester le processus de provisionnement des comptes
  4. Test de l'énumération des comptes et des comptes utilisateurs devinables
  5. Test de la politique de nom d'utilisateur faible ou non appliquée
5. Test d'authentification
  1. Test du transport des informations d'identification sur un canal chiffré
  2. Test des informations d'identification par défaut
  3. Test du mécanisme de verrouillage faible
  4. Test de contournement du schéma d'authentification
  5. Test de la vulnérabilité du mot de passe mémorisé
  6. Test des faiblesses du cache du navigateur
  7. Test de la politique de mot de passe faible
  8. Test de la question/réponse de sécurité faible
  9. Test des fonctionnalités de modification ou de réinitialisation de mot de passe faibles
  10. Test de l'authentification plus faible dans un canal alternatif
6. Test d'autorisation
  1. Test de traversée de répertoire/inclusion de fichier
  2. Test de contournement du schéma d'autorisation
  3. Test d'escalade de privilèges
  4. Test des références d'objets directs non sécurisées
7. Test de la gestion de session
  1. Test du schéma de gestion de session
  2. Test des attributs de cookies
  3. Test de la fixation de session
  4. Test des variables de session exposées
  5. Test de la falsification de requête intersite (CSRF)
  6. Test de la fonctionnalité de déconnexion
  7. Test du délai d'expiration de la session
  8. Test de la confusion de session
  9. Test du détournement de session
8. Test de validation des entrées
  1. Test du Cross Site Scripting Réfléchi
  2. Test du Cross Site Scripting Stocké
  3. Test de l'altération du verbe HTTP
  4. Test de la pollution des paramètres HTTP
  5. Test de l'injection SQL
  6. Test pour Oracle
  7. Test pour MySQL
  8. Test pour SQL Server
  9. Test PostgreSQL
  10. Test pour MS Access
  11. Test pour NoSQL Injection
  12. Test pour ORM Injection
  13. Test côté client
  14. Test de l'injection LDAP
  15. Test de l'injection XML
  16. Test de l'injection SSI
  17. Test de l'injection XPath
  18. Test de l'injection IMAP/SMTP
  19. Test de l'injection de code
  20. Test de l'inclusion de fichier local
  21. Test de l'inclusion de fichier distant
  22. Test de l'injection de commande
  23. Test de l'injection de chaîne de format
  24. Test des vulnérabilités incubées
  25. Test du fractionnement/contrebande HTTP
  26. Test des requêtes HTTP entrantes
  27. Test de l'injection d'en-tête d'hôte
  28. Test de l'injection de modèle côté serveur
  29. Test de la falsification de requête côté serveur (SSRF)
9. Test de la gestion des erreurs
  1. Test de la gestion incorrecte des erreurs
  2. Test des traces de pile
10. Test de la cryptographie faible
  1. Test de la sécurité faible de la couche de transport
  2. Test de l'oracle de padding
  3. Test des informations sensibles envoyées via des canaux non chiffrés
  4. Test du chiffrement faible
11. Test de la logique métier
  1. Introduction à la logique métier
  2. Tester la validation des données de la logique métier
  3. Tester la capacité à falsifier des requêtes
  4. Tester les contrôles d'intégrité
  5. Test de la synchronisation des processus
  6. Tester le nombre de fois qu'une fonction peut être utilisée
  7. Test du contournement des flux de travail
  8. Tester les défenses contre l'utilisation abusive des applications
  9. Tester le téléchargement de types de fichiers inattendus
  10. Tester le téléchargement de fichiers malveillants
12. Test côté client
  1. Test du Cross-Site Scripting basé sur le DOM
  2. Test de l'exécution JavaScript
  3. Test de l'injection HTML
  4. Test de la redirection d'URL côté client
  5. Test de l'injection CSS
  6. Test de la manipulation des ressources côté client
  7. Test du partage de ressources inter-origines (CORS)
  8. Test du Cross-Site Flashing
  9. Test du Clickjacking
  10. Test des WebSockets
  11. Test de la messagerie Web
  12. Test du stockage du navigateur
  13. Test de l'inclusion de script inter-sites
13. Test de l'API
  1. Test de GraphQL
Reporting
Annexe
1. A. Ressources d'outils de test
2. B. Lectures suggérées
3. C. Vecteurs de fuzzing
4. D. Injection encodée
5. E. Historique
6. F. Utilisation des outils de développement