Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Wed, 15 Oct 2003 14:56:33 +0000, Marc wrote:
L'idée est de scanner dès la phase de développement mon appli. à la recherches de vulnerabilités.
Très bonne idée. Ainsi, tu pourras aussi corriger les failles liées au design. Btw, plus tu fais ça tôt, moins les modifications à apporter te couteront cher.
En dehors des fuzzers (AppScan, Spike Proxy, ...) qui peuvent trouver quelques unes des failles, une checklist de sécurité Web peut elle aussi être très utile (remontée dans l'arborescence, info envoyée dans les cookies, passage de paramètres au shell, jump de session entre les frames, données stockées en dessous de la webroot, SQL injection, ...).
Sinon, tu peux externaliser. Je connais des boîtes qui font ça très bien (dont celle où je bosse :). Mais n'étant pas un pro du Java, je privilégierais (si c'est moi qui conduirait l'analyse) un test en black-box, où la techno sous-jacente n'a pas forcément besoin d'être maitrisée.
Nicob, désolé pour le retard
On Wed, 15 Oct 2003 14:56:33 +0000, Marc wrote:
L'idée est de scanner dès la phase de développement mon appli. à la
recherches de vulnerabilités.
Très bonne idée. Ainsi, tu pourras aussi corriger les failles liées au
design. Btw, plus tu fais ça tôt, moins les modifications à apporter te
couteront cher.
En dehors des fuzzers (AppScan, Spike Proxy, ...) qui peuvent trouver
quelques unes des failles, une checklist de sécurité Web peut elle aussi
être très utile (remontée dans l'arborescence, info envoyée dans les
cookies, passage de paramètres au shell, jump de session entre les
frames, données stockées en dessous de la webroot, SQL injection, ...).
Sinon, tu peux externaliser. Je connais des boîtes qui font ça très
bien (dont celle où je bosse :). Mais n'étant pas un pro du Java, je
privilégierais (si c'est moi qui conduirait l'analyse) un test en
black-box, où la techno sous-jacente n'a pas forcément besoin d'être
maitrisée.
L'idée est de scanner dès la phase de développement mon appli. à la recherches de vulnerabilités.
Très bonne idée. Ainsi, tu pourras aussi corriger les failles liées au design. Btw, plus tu fais ça tôt, moins les modifications à apporter te couteront cher.
En dehors des fuzzers (AppScan, Spike Proxy, ...) qui peuvent trouver quelques unes des failles, une checklist de sécurité Web peut elle aussi être très utile (remontée dans l'arborescence, info envoyée dans les cookies, passage de paramètres au shell, jump de session entre les frames, données stockées en dessous de la webroot, SQL injection, ...).
Sinon, tu peux externaliser. Je connais des boîtes qui font ça très bien (dont celle où je bosse :). Mais n'étant pas un pro du Java, je privilégierais (si c'est moi qui conduirait l'analyse) un test en black-box, où la techno sous-jacente n'a pas forcément besoin d'être maitrisée.