Comment analyser la sécurité de mes logiciels web ?

OWASP - How To...
7 février 2022 par
Comment analyser la sécurité de mes logiciels web ?
Teos Cybersecurity Polynesia, Éric LARCHER
| 1 Commentaires

Développée sans une bonne maitrise de la sécurité applicative, une application web peut très facilement devenir une passoire autorisant les attaques plus ou moins impactantes telles que des dénis de service ou encore du vol voire de la destruction de données utilisateurs.


Pour éviter ce genre d’écueil, il est nécessaire de faire appel à des équipes de développement formées à la sécurité applicative. Mais quand on hérite d’une application web ou qu’on fait appel à une société externe, comment savoir si le résultat est à la hauteur ?


La solution, c’est de s’appuyer sur un scanner applicatif afin de détecter d’éventuelles failles de conception, développement, etc.


Le but de cet article est de proposer un ensemble d’outils, gratuits (ou permettant une utilisation temporaire gratuite un certain temps), permettant de scanner les applications web. Nous nous sommes limités à des solutions disponibles en SaaS, certaines proposent plus d'options gratuites mais nécessitent l'installation d'un logiciel (généralement une VM) en interne.

AppCheck

AppCheck est un outil commercial permettant de réaliser facilement des scans de vulnérabilités d’applications web. Il propose un test gratuit et met à disposition un exemple de rapport (Sample Report). 
Odoo • Texte et Image

Indusface WAS

Autre scanner commercial mais qui propose une version complètement gratuite sans limite de temps cependant limitées à 250 pages. Les scans sont conformes au 20 failles identifiées par le SANS et le TOP10 de l’OWASP, qui fait référence. A noter que les offres commerciales incluent des vérifications de vulnérabilités manuelles par des experts d’Indusface (5 pour 49USD/mois, illimité pour 199 USD/mois).
Odoo • Texte et Image

HostedScan

Un scanner commercial qui propose un accès gratuit pour 10 scans par mois. L'interface est très claire, des scans SSL sont également proposés.
Odoo • Texte et Image

Reconwithme

Propose un Scan gratuit pour tester un site, puis est facturé à partir de 225 USD/an. 

Odoo • Texte et Image

Qualys WAS

Acteur historique du Scan de vulnérabilité, Qualys propose une offre globale qui intègre un scanner web (Web Application Scanner). Il est accessible en illimité pendant un mois. Une version entièrement gratuite (limitée à 10 IP et une URL) est également proposée (Qualys Community Edition).

Odoo • Texte et Image
Comment analyser la sécurité de mes logiciels web ?
Teos Cybersecurity Polynesia, Éric LARCHER 7 février 2022
Partager cet article
Étiquettes
Archive
Se connecter pour laisser un commentaire.