Tests de sécurité pour sites web

Le test de sécurité pour site web est une prestation très utile pour les entreprises.

Intégré dans le cycle projet lors du recettage d’un site web, le test de sécurité pour site web s’intègre à la suite du développement et participe à la démarche de validation.

Ce test permet de découvrir toutes les vulnérabilités pouvant permettre de compromettre le site web, le serveur hébergeant le site web, ou les données qui transitent ou sont stockées par ce site web.

Les vulnérabilités permettant d’effectuer ce genre d’actions malveillantes sont légions et sont désormais bien maitrisées par les attaquants.

Nous pouvons ainsi lister parmi les vulnérabilités les plus classiques pour les sites web :

  • Les vulnérabilités de type XSS (‘Cross Site Scripting’) qui permettent d’exécuter du code sur le navigateur internet de la personne qui visite le site
  • Les vulnérabilités de type ‘SQL Injection’ qui permettent à des individus malveillants d’effectuer des requêtes sur votre base de données
  • Les vulnérabilités d’upload qui permettent d’exécuter du code sur le serveur hébergeant votre site
  • Les vulnérabilités de type ‘directory traversal’ et ‘ arbitrary file retrieval’ qui permettent bien souvent de compromettre votre site web voire même le serveur web.

Il ne s’agit là que des vulnérabilités les plus souvent rencontrées. Bien d’autres vulnérabilités classiques sont retrouvées sur les sites web et sont testées lorsque nous effectuons des tests pour nos clients.

Pour effectuer les tests de sécurité, nous proposons comme pour les audits de sécurité une approche en boite noire et une approche en boîte blanche.

Le TSW (Test pour Site Web) en boîte blanche consiste en :

  • Une discussion approfondie avec vos développeurs sur la structure du site web, les technologies employées etc…
  • L’audit manuel du code source du site web
  • Souvent, la réalisation de tests manuels sur un serveur faisant fonctionner le site.
  • Eventuellement, un audit en boite blanche du ou des serveurs faisant fonctionner le site web
  • La rédaction d’un rapport décrivant les tests réalisés et proposant des préconisations ainsi qu’un plan d’action

Le TSW (Test pour Site Web) en boite noire consiste en :

  • La réalisation d’attaque sur un serveur en préproduction ou en production à l’aide d’outils automatisés
  • La réalisation de tests manuels sur un serveur faisant fonctionner le site
  • La rédaction d’un rapport décrivant les tests réalisés et proposant des préconisations ainsi qu’un plan d’action

Pour résumer, les tests de sécurité pour site web en boite noire sont souvent très adaptés pour détecter les vulnérabilités les plus importantes. Ce test permet déjà d’atteindre un très bon niveau de sécurité.

Par contre, il est conseillé de commander des tests de sécurité pour site web en boite blanche lorsque vous désirez augmenter le niveau d’exhaustivité des résultats et tendre vers la découverte de tous les bugs de votre site web. Cette solution est également à préconiser lorsque vous désirez prendre des décisions concernant des choix technologiques sur votre site, par exemple lors de la refonte de celui-ci.

Bien entendu, à votre demande, il nous est possible de travailler avec le référentiel de votre choix, par exemple celui d’OWASP.