Objectif

Cet audit propose une évaluation visant à passer un ensemble de points de contrôle sur les composants d'une application Web, et à produire un rapport mettant en évidence les vulnérabilités trouvées.

Justification

 La complexité et la forte interconnexion des composants utilisés dans les pages Web font de celles-ci des applications devant traiter un nombre important d'entrées. Elles proposent des pages capables de répondre à des requêtes directes ou indirectes, de gérer les demandes d'un utilisateur dans le cadre d'une session sécurisée, de renvoyer des réponses de plus en plus riches.

Cette multiplication des services rendus augmente d'autant les possibilités d'utilisation malveillantes de ces services.

Ces attaques peuvent, en s'appuyant sur des techniques en évolution continuelle, révéler des informations non publiées d'un site Web, exécuter des scripts aux effets néfastes, obtenir l'identité d'un utilisateur et accéder à ses données et transactions personnelles, fragiliser l'intégrité du serveur, ou accéder aux informations de la base de données sur laquelle s'appuie un site.

Déroulement de la prestation

L'analyse s'appuie sur les constituants d'une application Web :

• Les URLs, atteintes par une exploration automatisée du site,

• Les paramètres de scripts, dont la combinatoire des valeurs produit autant de cas de tests,

• Le code Javascript, les cookies, les commentaires, qui sont catalogués pendant l'exploration du site

• Les liens inactifs et pages volontairement écartées de l'analyse sont également consignés, rendant la couverture de composants la plus complète possible.

Du fait de l'exploration systématique de tous les enchaînements sur chaque page, la plupart des pages accessibles sont atteintes et traitées : leur contenu est analysé et leurs paramètres sont testés.

Modules et points de contrôle

Les tests effectués sur les composants de l'application Web dépendent des modules choisis pour l'audit, chacun d'entre eux étant composé de plusieurs points de contrôle.

Parmi les modules disponibles, on peut citer :

• Module « Intrusion dans la structure du serveur »

• Module « Prise de contrôle de la base de données »

• Module « Obtention frauduleuse d'identité »

Outil utilisé

IBM Rational Appscan

Fournitures

Le rapport d'audit produit est réalisé sous forme Html qui permet une présentation des résultats selon deux axes : par les niveaux de performance, ou par les points de contrôle, et une navigation naturelle et rapide vers les éléments importants.

Contactez-nous pour des informations ou un devis si cette offre vous intéresse

Téléchargez le document

Offre KALIMETRIX dans le domaine de la recherche de défauts au plus tôt :

Outils

• IBM®Rational®Logiscope QualityChecker
• Plugin C# pour IBM®Rational®Logiscope QualityChecker
• Plugin Visual Basic pour IBM®Rational®Logiscope QualityChecker

Formations

•  Catalogue

Service

• Prise en main de IBM®Rational®Logiscope
• Quick-start IBM®Rational®Logiscope
• Recherche de fautes de codage
• Correction en une fois de toutes les copies d'un bug
• Recherche des vulnérabilités d'un site web

Nous contacter.