Souvent en raison de budgets trop restreints alloués au développement des applications web et mobiles, celles-ci contiennent fréquemment un grand nombre de vulnérabilités. C’est donc naturellement qu’elles sont les cibles privilégiées des hackers.
Types de vulnérabilité classés par fréquence d’observation - Selon OWASP Top 10 team
Dans cet article, nous vous expliquerons leurs points forts, leurs limites ainsi que les raisons pour lesquelles des audits automatisés SAST et DAST ne peuvent pas se substituer à des tests d’intrusions réalisés par un hacker éthique.

Audits SAST et DAST de l’application Webgoat écrite en .NET
L’audit du code source (SAST) de vos applications est important si vous souhaitez détecter et corriger leurs vulnérabilités pendant la phase de développement : plus tôt une vulnérabilité est découverte et moins elle sera couteuse à corriger.
Un tel audit vous permet de détecter un grand nombre de vulnérabilités présentes dans le code source de vos applications

Un hacker peut se servir de cette vulnérabilité pour consulter le contenu de n’importe quel fichier présent sur le serveur hébergeant cette application : fichiers de configuration, documents confidentiels, etc.


Un audit SAST est particulièrement intéressant car il vous indique l’emplacement exact d’une vulnérabilité dans le code source :

Si la lecture du code source est complexe, vous pouvez consulter une vue simplifiée représentant l’exécution dynamique de votre application :

Un audit dynamique (DAST) consiste à se servir d’un scanner pour interagir avec l’application comme un hacker le ferait sur internet : en envoyant un grand nombre de requêtes malicieuses vers l’application auditée afin d’y trouver des failles.

Un audit DAST est intrusif par nature. Il peut détériorer votre application. Il est donc préférable de scanner dynamiquement une application dans un environnement de pré production.
De cette manière vous découvrirez un maximum de vulnérabilités sans pour autant impacter votre application.
Un hacker peut se servir de cette configuration non sécurisée du serveur web pour consulter le code source d’une sauvegarde de l’application archivée sur le serveur :


Les audits de code source (SAST) et les audits dynamiques (DAST) automatisés vous permettront de détecter un grand nombre de vulnérabilités. Cependant, il est important de noter que ces solutions ne pourront pas remplacer l’intelligence humaine.
Un tel test permet de comprendre la dynamique qu’entretiennent des vulnérabilités entre elles afin de dresser un portrait réaliste de la sécurité de vos applications.

L’homme et la machine : plus fort ensemble
Si votre budget vous le permet nous vous conseillons de réaliser ces 3 types de tests à la fois.
De cette manière vous obtiendrez une grande assurance que vos applications critiques sont dépourvues de vulnérabilités.
Si vous ne pouvez pas vous offrir ces 3 tests, nous vous conseillons de réaliser des scan DAST couplée à une vérification des résultats par un expert.