Scribd Logo
Importer

Bienvenue sur Scribd !

  • Open Web Application Security Project

    Transféré par

    rached cherif
    30 vues12 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    30 vues12 pages

    Open Web Application Security Project

    Transféré par

    rached cherif

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 12

    2022/2021

    OWASP

    RACHED CHERIF
    DÉFINITION DE
    L’OWASP ?

    • Open Web Application Security Project


    • Fondation pour améliorer la sécurité des webapps
    • Fondée en 2004, internationale, sans but lucratif
    • Référence principale dans le domaine
    • Propose :
    Top 10 (web et mobile²)
    Grand communauté d’experts
    Formation, documentation et ressources
    Outils d’audit, de tests et de formation

    liste des vulnérabilités les plus connues et des risques de


    sécurité dangereux pour les applications Web.
    Il présente chaque année
    L'objectif du Top 10 est de promouvoir la sensibilisation
    relative à la sécurité applicative en identifiant certains
    des risques les plus critiques rencontrés par les
    entreprises.
    TOP 10 DES RISQUES
    MOBILES 2016

    M1 : Utilisation incorrecte de la plate-forme


    M2 : Stockage de données non sécurisé
    M3 : Communication non sécurisée
    M4 : Authentification non sécurisée
    M5 : Cryptographie insuffisante

    M6 : Autorisation non sécurisée


    M7 : Qualité du code client
    M8 : Falsification de code
    M9 : Rétro-ingénierie
    M10 : Fonctionnalité étrangère
    IMPORTANCE
    OF TOP 10
    donne aux organisations une priorité sur quel risque se concentrer
    aider à comprendre, identifier, et corriger les vulnérabilités de la
    technologie
    former tous les acteurs de la sécurité développeurs, designer
    architecte
    renforcer le fait qu'une initiative d'application sécurisée doit
    aborder la sécurité à chaque étape du cycle de vie du développement
    OWASP TESTING GUIDE

    testing for Information Gathering :


    Understanding the deployed configuration of the
    server hosting the web application

    tools : Google Hacker: est une technique


    consistant à utiliser un moteur de recherche,
    généralement Google, en vue de chercher des
    vulnérabilités ou de récupérer des données
    sensibles
    OWASP TESTING GUIDE

    Black Box Testing :


    Understanding the deployed configuration of the
    server hosting the web application

    tools : httprint est un outil d’empreinte digitale


    de serveur Web. Il s’appuie sur les
    caractéristiques du serveur Web pour identifier
    avec précision les serveurs Web,
    OWASP TESTING GUIDE

    Gray Box Testing


    Le but de ce test est de rechercher les défauts
    éventuels d'un produit, dus à une mauvaise
    structure ou à une mauvaise utilisation des
    applications

    tools :
    Nmap
    Nessus Vulnerability Scanner
    OWASP TESTING GUIDE

    testing for HEAD access control bypass :


    Find a page to visit that has a security constraint
    such that it would normally force a 302 redirect to
    a log in page or forces a log in directly

    tools :
    NetCat st un utilitaire permettant d'ouvrir des
    connexions réseau, que ce soit UDP ou TCP.
    cURL cURL est une interface en ligne de
    commande, destinée à récupérer le contenu d'une
    ressource accessible par un réseau informatique
    THANK
    YOU

    Vous aimerez peut-être aussi