DAST

Notions théoriques

Un scanner de sécurité

Un outil DAST (Dynamic Application Security Testing) est un programme qui teste une application en cours d'exécution pour trouver des vulnérabilités de sécurité.

Un outil DAST agit comme un auditeur externe qui sonde l'application de l'extérieur, en simulant des attaques pour identifier les points faibles, tels que :

• les failles d'injection,
• les problèmes de gestion des sessions,
• et d'autres menaces potentielles qui pourraient être exploitées par des attaquants.

Un outil DAST est comme un scanner de sécurité pour vos applications qui tournent déjà.

Le DAST étudie votre application en action et cherche les points faibles, comme des entrées où on pourrait injecter du code malveillant ou des configurations qui laissent la porte ouverte aux intrus.

attention

A la différence d'un outil SAST (Static Application Security Testing) qui analyse le code source d'une application sans exécuter le programme, un outil DAST (Dynamic Application Security Testing) teste une application en cours d'exécution.

La mitigation

Dans le contexte de la sécurité informatique et plus particulièrement dans l'analyse des vulnérabilités comme celles identifiées par OWASP ZAP, le terme mitigation fait référence aux mesures prises pour réduire la gravité, l'impact ou les conséquences d'une vulnérabilité détectée dans un système informatique.

La mitigation ne signifie pas nécessairement éliminer complètement la vulnérabilité (ce qui serait plus proche de la notion de "correction" ou "remédiation"), mais plutôt de minimiser les risques associés à cette vulnérabilité jusqu'à ce qu'une solution permanente puisse être mise en place.

La mitigation est donc une partie essentielle de la gestion des risques en sécurité informatique, servant à contrôler temporairement les risques jusqu'à ce que des correctifs plus robustes puissent être appliqués.

astuce

N'oubliez pas, la sécurité est un processus continu.

Test de mémorisation/compréhension

Que signifie l'acronyme DAST ?

Dynamic Application Security Testing

Direct Application Security Testing

Dynamic Application Software Testing

Direct Application Software Testing

Quel est le rôle principal d'un outil DAST ?

Corriger automatiquement les failles de sécurité

Tester la performance d'une application et améliorer automatiquement ces performances

Détecter les vulnérabilités dans une application en cours d'exécution

Créer des applications sécurisées

Analyser le code source de l'application

À quel moment doit-on utiliser un outil DAST ?

Avant de commencer le développement de l'application

Après avoir terminé le développement de l'application

Pendant que l'application est en cours d'exécution

Lors de la planification de l'architecture de l'application

Uniquement en cas d'attaque sur l'application

Comment un outil DAST interagit-il avec l'application testée ?

En modifiant le code source

En observant le comportement de l'application en cours d'exécution

En analysant les rapports de bugs

En effectuant des tests de performance

Quelle est la différence principale entre la mitigation et la correction d'une vulnérabilité ?

La mitigation élimine complètement la vulnérabilité

La correction minimise temporairement les risques

La mitigation minimise temporairement les risques

La correction augmente la sécurité sans éliminer la vulnérabilité

Pourquoi la sécurité est-elle considérée comme un processus continu ?

Car les vulnérabilités sont constamment créées par les utilisateurs

Car les attaques sont imprévisibles

Car les nouvelles vulnérabilités et menaces émergent régulièrement

Car les outils de sécurité doivent être mis à jour quotidiennement

Quel est un exemple de mesure de mitigation pour une vulnérabilité détectée par un outil DAST ?

Réécriture complète du code de l'application

Utilisation de jetons anti-CSRF

Suppression de toutes les fonctionnalités de l'application

Augmentation des ressources serveur

Quel aspect des applications un outil DAST ne teste-t-il pas directement ?

La qualité du code source

Les vulnérabilités en cours d'exécution

La gestion des sessions

Les failles d'injection

Quel est l'objectif de vérifier l'en-tête HTTP Referer dans le cadre de la mitigation d'une vulnérabilité CSRF ?

Pour confirmer que la requête vient d'une source fiable

Pour augmenter la charge du serveur

Pour surveiller les performances de l'application

Pour valider la syntaxe du code HTML

---

TP - La chasse aux failles

Pour ce TP, nous allons utiliser un outil DAST populaire sur Windows : OWASP ZAP.

info

OWASP ZAP (abréviation de Zed Attack Proxy ) est un scanner de sécurité d'application Web open source.

Il s'utilise comme serveur proxy et permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https.

https://www.zaproxy.org/

Votre mission sera de lancer une analyse DAST sur la boutique BodgeIt.

remarque

La boutique BodgeIt est une application Web vulnérable, dont le code source est disponible à l'adresse https://github.com/psiinon/bodgeit, utilisée pour s'entrainer aux tests d'intrusion (pen testing).

Vous devrez identifier les failles de sécurité et proposer des mesures pour les corriger.

1. Téléchargez et installez OWASP ZAP.

info

OWASP ZAP nécessite Java 64 bits.

Si Java n'est pas installé dans votre ordinateur, il suffit de télécharger le programme d'installation sur le site https://adoptium.net/fr/

2. Installez la boutique BodgeIt à partir de son image sur Docker Hub : https://hub.docker.com/r/psiinon/bodgeit/

3. Lancez OWASP ZAP

4. Configurez votre navigateur Web pour utiliser le proxy d'OWASP ZAP et accédez à la boutique BodgeIt .

5. Démarrez l'analyse et observez les résultats.

6. Identifiez les vulnérabilités les plus critiques.

7. Réfléchissez à des solutions pour la mitigation.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :