Cet article est un retour d'expérience d'audit de code qui présente les vulnérabilités les plus fréquemment rencontrées. Cet article n’a pas pour objet de représenter l’exploitation de vulnérabilités complexes, mais plutôt des cas simples.
1. Introduction
L'audit de code n'a jamais eu vraiment la cote chez les consultants en sécurité : l’aspect « challenge » est beaucoup moins prononcé par rapport à un test d'intrusion en boîte noire. De plus, lire des milliers de lignes de code, identifier l'arborescence d'appels de fonctions à la recherche d’un mécanisme de sécurité est plus rébarbatif que d'insérer des quotes dans un formulaire de recherche d'une page web.
Contre toute attente, en 2010 l'ARJEL (Autorité de Régulation des Jeux En Ligne [1]) a remis au goût du jour cette pratique boudée avec les audits applicatifs intrusifs, qui consiste à combiner un test d'intrusion et un audit de code afin de pouvoir examiner l'application sous toutes les coutures. Les résultats sont en effet bien plus efficients.
L'approche d’un audit de code est totalement différente d'un test d'intrusion, mais l’objectif est le même : mettre en évidence les défauts…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première