Seela

logo seela

Failles et Vunérabilités - OWASP Zed Attack Proxy 2.9.0

01. Déroulement d'un audit

Déroulement

L’audit d’une application Web se déroule en trois étapes :

  • Lancement d’un robot d’indexation (Spider);
  • Un scan passif;
  • Un scan actif.

 

Étape 1 : Robot d’indexation

Pour accéder à cette étape : Clic droit (URL) > Attaquer > indexer…

  1. Initier les connexions avec l’application Web;
  2. Examiner les cookies;
  3. Indexer les pages de l’application Web;
  4. Identifier tous les liens;
  5. Identifier tous les fichiers présents.

 

Étape 2 : Scan passif

Ce scan, lancé par le robot d’indexation, permet de réaliser une cartographie de l’application Web :

  • Découverte des OS;
  • Découverte des services;
  • Carte des vulnérabilités connues associées aux actifs découverts;
  • Le scan passif ne peut que soupçonner les vulnérabilités présentes sur les cibles détectées, sans avoir la capacité de les tester.

 

Étape 3 : Scan actif

Après le scan passif, on lance un scan actif pour identifier parfaitement les vulnérabilités présentes :

Clic droit (URL) > Attaquer > Balayage actif avancé…

Qu'est-ce que nous cherchons?

Les règles qui génèrent des alertes avec focus sur les codes retour HTTP :

  • 400 (Bad Request);
  • 404 (Not Found);
  • 429 (Too Many Requests);
  • 500 (Internal Server Error).


Chaque alerte ou type d’alerte doit être analysé et les informations fournies autour doivent permettre de corriger la vulnérabilité identifiée ou potentielle.

Configurer le robot d'indexation

capture ZAP status bar

Pour accéder à la configuration du robot d’indexation, aller sur Outils > Options > Robot d’indexation. Après son exécution, le robot lance un scan passif.

capture failles

Règles de scans

OWASP ZAP propose trois qualités pour les règles de scans :

  • Alpha : règles vraiment immatures;
  • Bêta : règles plus matures, mais non testées en profondeur;
  • Release : règles qui ont été testées en profondeur et qui sont matures. Ces règles sont installées par défaut dans ZAP.


Les règles sont accessibles depuis :

  • Gérer les accessoires > Onglet « Foire aux modules »
  • Le bouton
Linux SQL

Une fois ces règles installées, elles sont sélectionnables dans la configuration : Outils > Options > Règles d’analyse passive.

capture ZAP

Le Seuil peut être réglé sur :

  • OFF : le scanner ne fonctionnera pas;
  • Faible : des problèmes potentiels seront soulevés, ce qui pourrait augmenter le nombre de faux positifs;
  • Moyen : valeur par défaut;
  • Haut : moins de problèmes potentiels, ce qui peut signifier que certains problèmes réels sont marqués (faux négatifs).

La valeur Règles peut prendre l’une des valeurs :

  • Alpha,
  • Bêta,
  • Release,
  • Tous : valeur par défaut et correspond à Release.


Pour voir le descriptif des règles appliquées au scan passif : Aide > Accessoires > Règles d’analyse

Capture de ZAP

Sommaire

Leçon suivante