Les applications web sont la cible de nombreuses attaques avec des impacts importants sur les sites web attaqués (perte d'image de marque, compromission de données métiers ou de données clients, ...). Il est nécessaire d'auditer ses applications web, que ce soit en boîte blanche ou en boîte noire. Nous proposons dans cet article de décrire le mode de fonctionnement d'un logiciel open source dans le domaine de l'audit en boîte noire d'applications web.Dans cet article, nous ne décrirons pas les vulnérabilités web, nous laissons aux lecteurs le soin de se délecter du Top 10 de l'OWASP [TOP10].
1. Introduction
Les applications web sont intrinsèquement exposées aux attaques : quelques chiffres de l'étude de Whitehat Security illustrent ces problématiques [WHITEHAT].
Cette étude affirme notamment que :
- Les failles XSS sont les plus fréquentes.
- Les entreprises importantes ont le nombre moyen de vulnérabilités par application le plus élevé (13 contre 11 pour le meilleur).
- Les entreprises importantes ont le taux de mise en place des correctifs le moins élevé (54% contre 62 % pour le meilleur).
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première