Détecter les vulnérabilités de ses applications internet en mode hébergé

Stéphane Bellec

01 Informatique

le 25/06/2009 à 07h00

envoyer
par mail

imprimer
l'article

Intégré à la suite Qualysguard Security and Compliance sous forme de module, Web Application Scanning (WAS) aide les développeurs et chefs de projet à réaliser un audit de sécurité de leurs applications web. Comme AppScan d'IBM ou Webinspect de HP, WAS se réfère aux vulnérabilités recensées par l'Owasp (Open Web Application Security Project), le Wasc (Web Application Security Consortium) et le Top SANS (Sysadmin, Audit, Network, Security). Les failles les plus connues et les plus fréquentes, tels le cross site Scripting ou la SQL injection, pourront ainsi être évitées ou minimisées.

Un circuit de reporting personnalisé

Pour accéder aux commandes d'audit hébergées chez Qualys, l'utilisateur recourt à une interface d'administration PHP. L'éditeur a développé un simulateur de navigation qui effectue une analyse du code HTML et Javascript pouvant extraire jusqu'à 5 000 liens par application. Dans le cadre d'audits réalisés en production, l'utilisateur peut affecter un niveau de bande passante afin de réduire l'impact sur les performances applicatives. WAS prend en charge de nombreux systèmes d'authentification : HTTP basique, par formulaire simple, NT LAN Manager, Digest (utilisé notamment par IIS5 et Apache), etc. Les vulnérabilités détectées sont remontées sous forme de rapport, diffusable par le biais d'un workflow prédéterminé. Ces audits servent aussi aux développeurs à assurer la conformité de leurs applications, quelle que soit la réglementation concernée : Sarbannes-Oxley, PCI, ou encore ISO 27001 et Bâle 2.

Prochaine étape pour Qualys : faire que WAS prenne en charge les applications Flash. En revanche, Silverlight n'est pas encore au programme.