Résumé:
Avec le développement croissant d'Internet, les applications Web sont devenues de plus en plus vulnérables et exposées à des attaques malveillantes pouvant porter atteinte à des propriétés essentielles telles que la confidentialité, l'intégrité ou la disponibilité des systèmes d'information. Pour faire face à ces malveillances, il est nécessaire de développer des mécanismes de protection et de test qui soient efficaces. La question qui se pose est comment évaluer l'efficacité de tels mécanismes et quels moyens peut-on mettre en cuvre pour analyser leur capacité à détecter correctement des attaques contre les applications web.
Dans ce mémoire nous proposons une approche, basée sur l'analyse des applications web, qui permet d'identifier les vulnérabilités selon une approche de 8 étapes, tout ça en nous exigeant de faire les tests dans le cas d'une boîte noire sur l'application cible. Chaque vulnérabilité identifiée est contrée par une parade ce qui permet de s'assurer que la vulnérabilité est bien arrêtée. L'approche proposée permet également de mettre en évidence différents scénarios d'attaque potentiels incluant l'exploitation de plusieurs vulnérabilités successives en tenant compte explicitement des dépendances entre les vulnérabilités. Cette méthode s'est concrétisée par la mise en oeuvre de parades sur chaque vulnérabilité trouvée et a été validée expérimentalement sur notre application web.
Mots-clés : Application Web, Attaque et vulnérabilités, Évaluation, approche
