Test de sécurité
Qu'est-ce que les tests de sécurité?
Les tests de sécurité sont une technique de test pour déterminer si un système d'information protège les données et maintient les fonctionnalités comme prévu. Il vise également à vérifier 6 principes de base énumérés ci-dessous:
Confidentiality
Integrity
Authentication
Authorization
Availability
Non-repudiation
Test de sécurité - Techniques:
Injection
Authentification et gestion de session interrompues
Scripts intersites (XSS)
Références directes d'objets non sécurisées
Mauvaise configuration de la sécurité
Exposition des données sensibles
Contrôle d'accès au niveau de fonction manquant
Falsification de requêtes intersites (CSRF)
Utilisation de composants avec des vulnérabilités connues
Redirections et transferts non validés
Outils de test de sécurité Open Source / gratuits:
| Produit | Vendeur | URL |
|---|---|---|
| FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
| FindBugs | L'Université du Maryland | http://findbugs.sourceforge.net/ |
| FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
| Montée en rampe | GPL | http://www.deque.com |
Outils de test de sécurité commerciale:
| Produit | Vendeur | URL |
|---|---|---|
| Armorize CodeSecure | Armorize Technologies | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | VERACODE | http://www.veracode.com |