Les problèmes de conception peuvent résulter de problèmes de gestion de session dans les applications web, permettant à un attaquant de voler la session ou l’identité d’un utilisateur.
Les problèmes de développement peuvent résulter de problèmes de traitement des données en entrée dans les applications web, permettant l’exécution de codes aux niveaux des bases de données ou des systèmes d’exploitation des serveurs.
L’audit de code par ITrust
Via son audit de code, ITrust analyse la façon dont l’application a été conçue et la façon dont le code a été développé. La méthode principale est la lecture manuelle de code. En suivant les flux de données dans le programme, les fonctions de traitement sont analysées pour évaluer leur adéquation au niveau de confiance des données traitées en entrée et en sortie.
Des applications open source d’analyse statique de code peuvent être utilisées pour trouver les erreurs les plus communes telles que des débordements de tampons, des chaînes de formats, des « time of check/time of use », etc. Dans tous les cas, une analyse manuelle est nécessaire pour éliminer les faux positifs.
Dans le but d’être le plus exhaustif possible sur les différents types de vulnérabilités, ITrust utilise différents référentiels dont les deux principaux suivants :
- Secure Programming for Linux and Unix HOWTO : Creating Secure Software
- OWASP Top Ten Project
Dans la mesure du possible, la gravité de la faille est évaluée, allant de « non exploitable » à « prise de contrôle total du serveur » ou « vol des informations confidentielles ».
Nous contacter
Un premier échange avec notre équipe nous permettra de bien comprendre vos objectifs et de vous réaliser un devis sur mesure.