OWASP

OWASP propose une grande variété de projets, allant des outils d'audit de sécurité aux guides
de bonnes pratiques. Certains des projets notables incluent OWASP ZAP (Zed Attack Proxy) pour les
tests de sécurité automatisés, OWASP WebGoat pour l'apprentissage de la sécurité des applications
web, et OWASP ASVS (Application Security Verification Standard) pour l'évaluation de la sécurité
des applications
I. OWASP ZAP
OWASP ZAP (Zed Attack Proxy) est un outil conçut pour améliorer la sécurité de votre application
web. Il évalue le niveau de sécurité initial et corrige les failles tout en fournissant un rapport de
sécurité à la fin de son analyse. Il nous propose des guides sous forme de PDF ou autres qui montre
comment l’utilisé, qui nous montre la vulnérabilité les plus populaires et des outils comme proxy pour
faire des attaques Man in the Middle. ZAP est sans aucun doute l'un des outils de test de sécurité les
plus avancés sur le marché. Il offre une gamme complète de fonctionnalités qui vous permettent de
détecter une grande variété de vulnérabilités dans vos applications web. Mais ce qui distingue
vraiment ZAP des autres outils est sa facilité d'utilisation et sa flexibilité. Vous pouvez facilement
personnaliser les paramètres de scan pour répondre aux besoins spécifiques de votre application
web. L’analyse automatisée avec OWASP ZAP se fait de deux manières qui sont :
1. Tradictional Spider ou L’araignée traditionnelle est une fonctionnalité d’owasp zap utilisée
pour cartographier automatiquement une application web et découvrir ses ressources et ses
vulnérabilités potentielles. Elle fonctionne comme suit :
 DECOUVERTE DES RESSOURCES : elle consiste à analyser l’application

web à travers des liens dans le but de découvrir toutes les ressources
accessibles.
 COLLECTE D’INFORMATION : comme son nom l’indique elle consiste a
collecter toutes les informations recueillir lors de la découvertes des
ressources accessibles
 ANALYSE DES VULNERABILITES : ici il s’agit d’analyser les
informations recueillir
 RAPPORT DE SECURITÉ : après toutes ses investigations elle nous fournit
un rapport de sécurité détaillé qui répertorie les vulnérabilités identifiées et
autre
2. AJAX Spider ou l’araignée AJAX avec AJAX qui signifie Asynchronous JavaScript and
XML Spider est utilisé pour l’analyse des applications web qui utilisent des technologies
AJAX pour une interaction asynchrone entre navigateur et serveur. Les étapes pour une
analyse avec AJAX Spider sont :
 DECOUVERTE DES APPELS AJAX : inspection du code source pour
identifier les appels AJAX par le biais de JavaScript
 INTERACTION REQUETES AJAX : collecter toutes les informations
recueillir après l’inspection du code source
 ANALYSE DES VULNERABILITÉ AJAX : d’analyser les informations
recueillir
 RAPPORT DE SECURITÉ : à la fin AJAX Spider nous fournit un rapport de
sécurité détaillé qui répertorie les vulnérabilités identifiées dans les appels
AJAX
On en déduit donc que l’araignée traditionnelle est conçue pour analyser les applications web qui
utilisent des interactions synchrones tandis que AJAX Spider est utilisé pour les interactions
asynchrones.
Analyse d’une Application Web
Pour conclure, OWASP ZAP est un outil de test de sécurité puissant et flexible qui peut aider
les professionnels de la sécurité à détecter les vulnérabilités de sécurité dans les applications
web. Les fonctionnalités de base de ZAP, telles que l'exploration de sites et l'injection de
vulnérabilités, ainsi que le mode de scan actif, en font un outil incontournable pour les tests
d'intrusion.
II. OWASP WebGoat
OWASP WebGoat est une application Web concut pour aider les développeurs à
comprendre les vulnérabilités Web courantes et à les éviter dans leurs applications. Il propose des
exercices pratiques qui guident les utilisateurs à travers des scénarios d'attaques et leur permettent
de comprendre comment ces vulnérabilités peuvent être exploitées et comment les prévenir. Avec
WebGoat, les développeurs peuvent apprendre à identifier ces vulnérabilités et à les corriger avant
qu'elles ne soient exploitées.
En utilisant OWASP WebGoat pour tester leurs applications, les développeurs peuvent
réduire considérablement les risques de piratage et améliorer la sécurité globale de leurs systèmes.
De plus, cela peut également aider à renforcer la confiance des utilisateurs dans leurs applications,
en montrant qu'ils prennent la sécurité au sérieux.
Il convient de noter que WebGoat doit être utilisé dans un environnement contrôlé et
dans un but éducatif. Il ne doit pas être déployé sur un réseau ouvert sans prendre les précautions
appropriées, car il est conçu pour être vulnérable et peut être exploité par des personnes malveillantes.
III. OWASP ASVS

En tant qu'utilisateurs d'applications web, nous partageons tous des
informations sensibles telles que nos noms, adresses e-mail et numéros de carte de crédit.
Sans les bonnes mesures de sécurité en place, ces informations peuvent être volées ou
utilisées à des fins malveillantes. C'est là que l'OWASP ASVS entre en jeu - il fournit des
directives pour s'assurer que les applications web sont construites avec la sécurité à l'esprit, ce
qui protège finalement les utilisateurs finaux. L'OWASP ASVS est divisé en trois niveaux,
chacun avec un nombre croissant de contrôles de sécurité pour garantir la sécurité des
applications web. Le niveau 1 est considéré comme le minimum requis et le niveau 3 est
considéré comme le plus élevé.
 La première section de l'ASVS concerne l'architecture de l'application. Elle vise à

garantir que les applications sont conçues de manière sécurisée dès le départ.
 La deuxième section concerne l'authentification et la gestion de session, qui sont des
éléments clés de toute application web.
 la troisième section concerne la gestion des données sensibles, y compris la
cryptographie et la protection contre les attaques de type injection.
En conclusion, l'OWASP ASVS est un ensemble de normes de sécurité qui

permet aux développeurs et aux organisations de protéger leurs applications contre les
attaques informatiques. Les différentes sections de l'ASVS couvrent tous les aspects de la
sécurité des applications, depuis la gestion des identités jusqu'à la protection contre les
attaques XSS et CSRF.

OWASP

Transféré par

Droits d'auteur :

Formats disponibles

OWASP

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

OWASP

Transféré par

Droits d'auteur :

Formats disponibles

OWASP propose une grande variété de projets, allant des outils d'audit de sécurité aux guides

 DECOUVERTE DES RESSOURCES : elle consiste à analyser l’application

II. OWASP WebGoat

III. OWASP ASVS

 La première section de l'ASVS concerne l'architecture de l'application. Elle vise à

En conclusion, l'OWASP ASVS est un ensemble de normes de sécurité qui

Vous aimerez peut-être aussi