Revue de code : à la recherche de vulnérabilités

Magazine
Marque
MISC
HS n°
Numéro
9
Mois de parution
juin 2014
Domaines


Résumé

Toute personne s’intéressant à la sécurité informatique connaît les tests d’intrusion applicatifs (pentest) pour la recherche de failles. Quelques-uns connaissent la revue de code source orientée sécurité. En revanche, une très faible minorité veut en faire : lire du code toute la journée semble moins attractif que d’exploiter une injection SQL. Dans cet article, nous vous faisons découvrir (et aimer :) cette approche de la sécurité applicative.


1. Introduction

Bien que dans le préambule il soit question de tests d’intrusion, cet article n'oppose les « pentests » aux audits de code source. En effet, ce sont deux approches différentes d’une même problématique : la sécurité du logiciel, chacune ayant des avantages et des inconvénients. Dans cet article, nous traiterons de l’intérêt de cette approche par le code, pour ensuite discuter méthodologie avant de voir un cas concret d’analyse de code source et de découverte de vulnérabilités.

1.1. Qu’est-ce que la revue de code ?

La revue de code ou analyse statique de code source orientée sécurité est l’art de rechercher des vulnérabilités directement dans le code source d’une application. Pour être plus précis, il ne s’agit pas vraiment de rechercher des vulnérabilités, mais plutôt de vérifier l’absence de failles logicielles. En effet, on part des postulats suivants :

-le code de l’application a été correctement...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.

Introduction au dossier : Python au service de la recherche et l’exploitation de vulnérabilités

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Domaines
Résumé

Quand on s’adonne aux plaisirs de la sécurité informatique, il est ce moment où doivent s’aligner les idées et la pratique, c’est-à-dire la production d’une preuve de concept. Et quand il faut écrire du code, le choix du langage s’impose forcément : d’un côté, il y a les contraintes fortes qui nous donnent des possibilités restreintes, et de l’autre il y a nos bas instincts qui prennent la solution qui produira le plus rapidement possible le résultat escompté.