Revue de code : à la recherche de vulnérabilités

Magazine
Marque
MISC
HS n°
Numéro
9
Mois de parution
juin 2014
Domaines


Résumé

Toute personne s’intéressant à la sécurité informatique connaît les tests d’intrusion applicatifs (pentest) pour la recherche de failles. Quelques-uns connaissent la revue de code source orientée sécurité. En revanche, une très faible minorité veut en faire : lire du code toute la journée semble moins attractif que d’exploiter une injection SQL. Dans cet article, nous vous faisons découvrir (et aimer :) cette approche de la sécurité applicative.


1. Introduction

Bien que dans le préambule il soit question de tests d’intrusion, cet article n'oppose les « pentests » aux audits de code source. En effet, ce sont deux approches différentes d’une même problématique : la sécurité du logiciel, chacune ayant des avantages et des inconvénients. Dans cet article, nous traiterons de l’intérêt de cette approche par le code, pour ensuite discuter méthodologie avant de voir un cas concret d’analyse de code source et de découverte de vulnérabilités.

1.1. Qu’est-ce que la revue de code ?

La revue de code ou analyse statique de code source orientée sécurité est l’art de rechercher des vulnérabilités directement dans le code source d’une application. Pour être plus précis, il ne s’agit pas vraiment de rechercher des vulnérabilités, mais plutôt de vérifier l’absence de failles logicielles. En effet, on part des postulats suivants :

-le code de l’application a été correctement...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Déboguez vos codes PHP

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

La mise au point de programmes PHP est parfois perçue comme archaïque, car la configuration d’un environnement efficace de debugging peut s’avérer déroutante. Voici comment paramétrer une confortable installation pour profiter pleinement d’outils professionnels et maîtriser le développement local ou distant.

Utiliser Visual Studio Code pour coder en Python

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Comme Batman a Robin, Rocket Raccoon a Groot, le développeur a l’éditeur de code. Sans son plus fidèle acolyte, impossible d’écrire la moindre ligne de code... d’où l’importance d’être toujours à la recherche de l’outil le plus efficace qui soit, quitte à délaisser un vieux compagnon de route...

Générez la documentation technique de vos projets Godot

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Découvrons comment utiliser GDScript Docs Maker pour générer automatiquement la documentation de vos projets Godot. Nous allons voir dans cet article que l’on peut simplement, à partir de notre code et de ses commentaires, avoir une documentation toujours à jour.