Un guide étape par étape pour trouver des failles de sécurité dans les applications web en utilisant l’analyseur de vulnérabilités de sécurité Detectify.

97% des applications testées par TrustWave étaient vulnérables à un ou plusieurs risques de sécurité.

Ce billet est publié en collaboration avec Detectify.

La vulnérabilité d’une application web peut entraîner une perte d’activité et de réputation pour l’entreprise si elle n’est pas corrigée à temps.

La triste vérité est que la plupart des sites web sont vulnérables la plupart du temps. Un rapport intéressant de White Hat Security indique le nombre moyen de jours nécessaires pour remédier à une vulnérabilité, par secteur d’activité.

Comment vous assurer que vous êtes au courant des vulnérabilités connues et inconnues de vos applications web ?

Il existe de nombreux scanners de sécurité basés sur le cloud pour vous aider dans cette tâche. Dans cet article, je vais vous parler de l’une des plateformes SaaS les plus prometteuses – Detectify.

Detectify s’intègre à votre processus de développement pour détecter les risques de sécurité à un stade précoce (environnement de production), afin que vous puissiez les atténuer avant la mise en service.

L’intégration du développement n’est qu’une des nombreuses fonctionnalités excellentes et optionnelles si vous n’avez pas d’environnement de mise en production.

Detectify utilise un crawler interne pour explorer votre site web et optimiser le test en fonction des technologies utilisées dans les applications web.

Une fois parcouru, votre site web est testé pour plus de 500 vulnérabilités, y compris le top 10 de l’OWASP, et vous donne un rapport actionnable de chaque découverte.

Caractéristiques de Detectify

Voici quelques-unes des fonctionnalités qui méritent d’être mentionnées :

Rapports – vous pouvez exporter les résultats de l’analyse sous la forme d’un résumé ou d’un rapport complet. Vous avez la possibilité d’exporter au format PDF, JSON ou Trello. Vous pouvez également afficher le rapport par top 10 de l’OWASP, ce qui est pratique si votre objectif est de ne corriger que les failles trouvées par l’OWASP.

Intégration – vous pouvez utiliser l’API de Detectify pour l’intégrer à vos applications ou à ce qui suit.

  • Slack, Pager Duty, Hipchat – recevez des notifications instantanées
  • JIRA – créez un problème pour les résultats
  • Trello – obtenez les résultats dans le tableau Trello
  • Zapier – automatisez les flux de travail

Un grand nombre de tests – comme mentionné précédemment, il vérifie plus de 500 vulnérabilités, et certaines d’entre elles sont :

  • SQL/Blind/WPML/NoSQL Injection SQL
  • Scripting intersite (XSS)
  • Falsification des requêtes intersites (CSRF)
  • Inclusion de fichiers distants/locaux
  • Erreur SQL
  • Session de connexion non cryptée
  • Fuites d’informations
  • Usurpation d’adresse électronique
  • Recensement des courriels/utilisateurs
  • Session interrompue
  • XPATH
  • Logiciels malveillants

Ne faites pas tout tout seul – invitez votre équipe à effectuer des analyses et à partager les résultats

Personnalisez les tests – chaque application étant unique, vous pouvez, si nécessaire, utiliser des cookies, des agents utilisateurs ou des en-têtes personnalisés, modifier le comportement des tests et les effectuer à partir d’appareils différents.

Mises à jour continues de la sécurité – L’outil est régulièrement mis à jour pour s’assurer que toutes les dernières vulnérabilités sont couvertes et testées. Par exemple, la semaine dernière, plus de dix nouveaux tests ont été mis à jour.

Sécurité des CMS – si vous gérez un blog, un site d’information ou un site de commerce électronique, vous utilisez très probablement des CMS tels que WordPress, Joomla, Drupal, Magento, et la bonne nouvelle est qu’ils sont couverts par les tests de sécurité.

Detectify effectue des tests spécifiques aux CMS pour s’assurer que votre site n’est pas exposé aux menaces en ligne qui peuvent en découler.

Scanner la page protégée – parcourir la page qui se trouve derrière le login.

Démarrer avec Detectify

Detectify offre 14 jours d’essai GRATUIT (aucune carte de crédit n’est requise). Je vais créer un compte d’essai et effectuer un test de sécurité sur mon site web.

  • Vous recevrez un courriel de confirmation pour vérifier le compte

  • Cliquez sur “Vérifier l’e-mail pour démarrer” et vous serez redirigé vers le tableau de bord avec un écran de bienvenue.

welcome-screen

  • Vous souhaiterez peut-être naviguer dans le guide étape par étape ou regarder la vidéo, mais pour l’instant, je vais fermer la fenêtre.

Vous avez maintenant créé votre compte et vous êtes prêt à ajouter le site web pour lancer le scan. Sur le tableau de bord, vous verrez un menu “Scopes & Targets“, cliquez dessus.

detectify-dashboard

Il y a deux façons d’ajouter l’étendue (URL).

  1. Manuellement – saisissez l’URL manuellement
  2. Automatiquement – importation de l’URL avec Google Analytics

Choisissez celle qui vous convient. Je vais procéder à l’importation via Google Analytics.

  • Cliquez sur “Utiliser Google Analytics” et authentifiez votre compte Google pour récupérer les informations de l’URL. Une fois ajouté, vous devriez voir les informations de l’URL.

url-added

Ceci conclut que vous avez ajouté l’URL à Detectify, et lorsque vous êtes prêt, vous pouvez lancer l’analyse à la demande ou la programmer pour qu’elle ait lieu tous les jours, toutes les semaines ou tous les mois.

Lancer un scan de sécurité

C’est le moment de s’amuser!

  • Accédez au tableau de bord et cliquez sur l’URL que vous venez d’ajouter.
  • Cliquez sur “Démarrer le scan” en bas à droite

start-scan

L’analyse démarrera en sept étapes, comme suit, et vous devriez voir l’état de chacune d’entre elles

  • Démarrage
  • Collecte d’informations
  • Recherche
  • Prise d’empreintes digitales
  • Analyse des informations
  • Exploitation
  • Finalisation

scan-running

L’analyse complète prendra un certain temps (environ 3 à 4 heures en fonction de la taille du site web). Vous pouvez fermer le navigateur et vous recevrez une notification par courrier électronique une fois l’analyse terminée.

L’analyse de Geek Flare a duré environ 3,5 heures et j’ai obtenu ceci.

scan-finished

Vous pouvez cliquer sur l’email ou vous connecter à un tableau de bord pour voir le rapport.

Explorer le rapport Detectify

Le rapport est ce qu’un propriétaire de site web ou un analyste de sécurité recherche. Il est essentiel car vous aurez besoin de corriger les résultats que vous voyez dans le rapport.

Lorsque vous vous connectez au tableau de bord, vous verrez la liste de vos sites Web.

dashboard-after-scan

Vous pouvez voir la date et l’heure de la dernière analyse, certains résultats et le score global.

  • Icône rouge – élevé
  • Icône jaune – moyen
  • Icône bleue – faible

Une gravité élevée est dangereuse et doit toujours être la première à être corrigée dans votre liste de priorités.

Jetons un coup d’œil au rapport détaillé. Cliquez sur le site web dans le tableau de bord, et vous serez redirigé vers la page d’aperçu.

Deux options s’offrent à vous sous “Threat Score” Vous pouvez soit consulter les résultats en ligne, soit les exporter au format PDF.

overall-score

J’ai exporté mon rapport au format PDF, et il fait 351 pages, c’est un travail approfondi.

Un exemple rapide des résultats en ligne, vous pouvez les développer pour voir les informations détaillées.

view-finding-online

Chaque résultat est expliqué de manière claire et contient des recommandations possibles. Si vous êtes un analyste de la sécurité, le rapport devrait vous fournir suffisamment d’informations pour y remédier.

Rapport sur le top 10 de l’OWASP – si vous êtes simplement intéressé par le rapport sur le top 10 des éléments de sécurité de l’OWASP, vous pouvez le consulter dans la rubrique “Rapports” de la barre de navigation de gauche.

owasp-top10-findings

Allez-y et consultez le rapport pour voir ce que vous devez réparer. Une fois que vous avez corrigé le problème, vous pouvez relancer l’analyse pour le vérifier.

Exploration des paramètres de Detectify

Il existe quelques paramètres utiles avec lesquels vous pouvez jouer en fonction de vos besoins.

Sous Paramètres >> de base

Limite de requêtes – si vous voulez que Detectify limite le nombre de requêtes qu’il fait par seconde à votre site web, vous pouvez personnaliser cette option. Par défaut, il est désactivé.

request-limit

Sous-domaine – vous pouvez demander à Detectify de ne pas découvrir le sous-domaine pour l’analyse. Cette option est activée par défaut.

subdomains

Configurer des analyses récurrentes – modifiez le calendrier pour exécuter l’analyse de sécurité tous les jours, toutes les semaines ou tous les mois. Par défaut, il est configuré pour s’exécuter chaque semaine.

Sous Paramètres >> Avancés

Cookie et en-tête personnalisés – fournissez votre cookie et votre en-tête personnalisés pour le test

Scan à partir du mobile – vous pouvez exécuter le scan à partir d’un autre user-agent. Utile si vous voulez tester comme un utilisateur mobile, un client personnalisé, etc.

scan-device

Désactiver un test spécifique – vous ne souhaitez pas tester certains éléments de sécurité spécifiques ? Vous pouvez les désactiver ici.

active-test

À vous de jouer..

Si vous voulez vraiment trouver des failles de sécurité du point de vue des pirates, essayez Detectify. Vous pouvez créer un compte d’essai pour explorer les fonctionnalités.