Detection de vulnerabilites dans le code source java?
Le
pirepire69
Bonjour,
Je suis a la recherche d'un outils d'audit de code source pour
sécuriser une application WEB.
L'idée est de scanner dès la phase de développement mon appli. à la
recherches de vulnerabilités.
Existe-il des outils pour auditer du code java?
J'ai trouvé les outils suivant: (mais ne scanne pas directement le
code source)
- Sanctum AppScan
- SPI Dynamics WebInspect
- Kavado Scando
- OWASP Webscarab (open source)
Merci d'avance de vos réponses!
Marc
Je suis a la recherche d'un outils d'audit de code source pour
sécuriser une application WEB.
L'idée est de scanner dès la phase de développement mon appli. à la
recherches de vulnerabilités.
Existe-il des outils pour auditer du code java?
J'ai trouvé les outils suivant: (mais ne scanne pas directement le
code source)
- Sanctum AppScan
- SPI Dynamics WebInspect
- Kavado Scando
- OWASP Webscarab (open source)
Merci d'avance de vos réponses!
Marc
Poser une question
Très bonne idée. Ainsi, tu pourras aussi corriger les failles liées au
design. Btw, plus tu fais ça tôt, moins les modifications à apporter te
couteront cher.
En dehors des fuzzers (AppScan, Spike Proxy, ...) qui peuvent trouver
quelques unes des failles, une checklist de sécurité Web peut elle aussi
être très utile (remontée dans l'arborescence, info envoyée dans les
cookies, passage de paramètres au shell, jump de session entre les
frames, données stockées en dessous de la webroot, SQL injection, ...).
Sinon, tu peux externaliser. Je connais des boîtes qui font ça très
bien (dont celle où je bosse :). Mais n'étant pas un pro du Java, je
privilégierais (si c'est moi qui conduirait l'analyse) un test en
black-box, où la techno sous-jacente n'a pas forcément besoin d'être
maitrisée.
Nicob, désolé pour le retard