Sommaire

Test

1. Analyse dynamique

Avant d’envoyer l’application en production, ou du moins une nouvelle version, la phase de test est élémentaire afin de vérifier les différentes vulnérabilités que les cybercriminels pourraient utiliser. En effet, cette phase doit se dérouler de manière à se mettre dans la peau d’un pirate effectuant des attaques sur l’application. Des scans de vulnérabilité et des tests de fuzzing ou de pénétration vont être effectués et pour certains, automatisés. Voici les entrées à pratiquer :

images/05EP26.png

Pour commencer, l’indispensable est l’analyse dynamique de l’application à l’aide d’un scanner de vulnérabilités. Il existe de nombreux produits sur le marché, dont un assez réputé et gratuit pour les applications web : l’OWASP Zed Attack Proxy (ZAP), déjà présenté dans le chapitre Les concepts du développement sécurisé - Outils indispensables de la sécurité web.

L’idéal est l’automatisation de scans de vulnérabilités avant la mise en production de l’application, ce qui permet de gagner du temps.

Certains outils d’automatisation des scans de vulnérabilités sont utilisés en cloud à travers Internet, d’autres peuvent être configurés en local (on-premise) afin de lancer un scan dès le déploiement ...