Développée sans une bonne maitrise de la sécurité applicative, une application web peut très facilement devenir une passoire autorisant les attaques plus ou moins impactantes telles que des dénis de service ou encore du vol voire de la destruction de données utilisateurs.
Pour éviter ce genre d’écueil, il est nécessaire de faire appel à des équipes de développement formées à la sécurité applicative. Mais quand on hérite d’une application web ou qu’on fait appel à une société externe, comment savoir si le résultat est à la hauteur ?
La solution, c’est de s’appuyer sur un scanner applicatif afin de détecter d’éventuelles failles de conception, développement, etc.
Le but de cet article est de proposer un ensemble d’outils, gratuits (ou permettant une utilisation temporaire gratuite un certain temps), permettant de scanner les applications web. Nous nous sommes limités à des solutions disponibles en SaaS, certaines proposent plus d'options gratuites mais nécessitent l'installation d'un logiciel (généralement une VM) en interne.
AppCheck
AppCheck est un outil commercial permettant de réaliser facilement des scans de vulnérabilités d’applications web. Il propose un test gratuit et met à disposition un exemple de rapport (Sample Report).Indusface WAS
Autre scanner commercial mais qui propose une version complètement gratuite sans limite de temps cependant limitées à 250 pages. Les scans sont conformes au 20 failles identifiées par le SANS et le TOP10 de l’OWASP, qui fait référence. A noter que les offres commerciales incluent des vérifications de vulnérabilités manuelles par des experts d’Indusface (5 pour 49USD/mois, illimité pour 199 USD/mois).HostedScan
Un scanner commercial qui propose un accès gratuit pour 10 scans par mois. L'interface est très claire, des scans SSL sont également proposés.Reconwithme
Propose un Scan gratuit pour tester un site, puis est facturé à partir de 225 USD/an.
Qualys WAS
Acteur historique du Scan de vulnérabilité, Qualys propose une offre globale qui intègre un scanner web (Web Application Scanner). Il est accessible en illimité pendant un mois. Une version entièrement gratuite (limitée à 10 IP et une URL) est également proposée (Qualys Community Edition).
Comment analyser la sécurité de mes logiciels web ?