La version 3 de l’OWASP (Open Web Application Security Project) est publiée

L’objectif de ce projet est de créer les «meilleures pratiques» en test de pénétration d’application web ainsi qu’un Framework que les utilisateurs peuvent mettre en œuvre dans leur propre organisme, Le guide est reconnu au niveau international notamment par la nouvelle norme de certification bancaire PCI-DSS.

owasp

La Version 3 du Guide a été publié grâce à  une équipe de 21 auteurs,4 commentateurs et 6 mois de travail acharné en Décembre 2008, le projet faisait partie de l’OWASP Summer of Code, qui a débuté en avril 2008 dans le but d’examiner la version 2 et de l’améliorer.

OWASP Testing Guide v3 c’est 349 pages, les tests actifs sont divisés en 9 sous-catégories :

  1. Recueils d’information (Fingerprint, Google Hack, codes d’erreurs …)
  2. Audit de configuration (ssl ,tls,… )
  3. Audit d’authentification (Brute force, Auth Bypassing , canaux sécurisée ,Captcha… )
  4. Audit de gestion de Session (cookies , Session Fixation,CSRF…)
  5. Audit d’autorisation (Privilege Escalation…)
  6. Audit d’intégrité des données : (Sql Injection,XSS,…)
  7. Audit de Dénie de Service (dépassement de pile , Locking Customer Accounts…)
  8. Audit des Web Services (WSDL…)
  9. Audit d’Ajax (Vulnérabilités …)

pour un total de 66 contrôles de teste d’Application Web.

Chaque contrôle OWASP a un code, par exemple une injection SQL est appelé OWASP-DV-005, ce qui signifie qu-elle est le 5e contrôle de la catégorie « validation des données ».

Le Guide est un document «vivant » : le projet a toujours besoin de votre avis! Rejoindre la liste de tests pour partager vos idées ici.

Vous pouvez télécharger OWASP Testing Guide v3 ici:
Télécharger la présentation ici
Consulter le Testing Guide v3 sur le wiki ici

Tagged : , , ,

Laisser un Commentaire