Audit de sécurité web, Réalisation et implémentation d'un « workflow »qui analyse et exploit des vulnérabilités web.

Abstract

De nous jours les applications web sont devenues un moyen incontournable. Néanmoins le vecteur le plus important des attaques cybercriminel cibles les applications web. Alors l'entreprise UNIDEES qui est spécialiser dans la sécurité des systèmes informatiques a proposé une solution offensif qui se concrétise à développer un scanner de vulnérabilités existant dans une application web, un produit 100% Algerian sans utilisation de logiciel open source lors de son développement, on 'a bâtisse ce scanner web « PenTwister » il a pour but de détecter, classifier et afficher les vulnérabilités existantes dans une application web, Il est spécialisé dans deux des vulnérabilités les plus répondues selon OWASP « Open Web Application Security Project » qui sont les injection SQL et XSS « Cross-Site Scripting », Ce dernier est doté de 2 composants majeurs qui sont un crawler qui nous permet d'avoir toutes les variables d'entrée disponibles, et un jeu de test aléatoire appeler Fuzzer qui simule un comportement malveillant, son but et d'essayer d'exploiter l'application souhaiter évalue, et il est doté d'une étape capitale qui est audit web ou bien audit des vulnérabilités pour but d'évalué la sévérité de ces dernières, suivant un standard appeler CVSS « Common Vulnerability Scoring System » qui est un standard d'évaluation de la sévérité des vulnérabilités. Comme ça Pentwister détecte les vulnérabilités web et nous aide à sécuriser nos applications web.