Évaluez la sécurité de vos applications via l’Audit de code

L’audit de code a pour but de rechercher des vulnérabilités dans le code source d’une application. Ces vulnérabilités sont de plusieurs types : erreurs de conception et erreurs de développement, code obsolète.

Les problèmes de conception peuvent résulter de problèmes de gestion de session dans les applications Web, permettant à un Hacker de pirater la session ou l’identité d’un utilisateur.

Les problèmes de développement peuvent résulter de mauvais  traitement ou interprétation des données en entrée dans les applications Web, permettant l’exécution de codes aux niveaux des bases de données ou des systèmes d’exploitation.

Avec son audit de code, LansecureCyberDefense  analyse la manière (intrinsèquement) coment  l’application a été conçue et la façon dont le code a été développé.

La méthode principale est la lecture manuelle de code. En suivant les flux de données dans le programme, les fonctions de traitement sont analysées pour évaluer leur adéquation au niveau de confiance des données traitées en entrée et en sortie.

Des applications open-sources d’analyse statique de code peuvent être utilisées pour trouver les erreurs les plus communes telles que des débordements de tampons, des chaînes de formats, des « time of check/time of use », etc. Dans tous les cas, une analyse manuelle est nécessaire pour éliminer les faux positifs.

Dans le but d’être le plus exhaustif possible sur les différents types de vulnérabilités, HackGates s’appuie sur différents référentiels dont :

  • OWASP
  • ISO 2700x
  • COBIT
  • Etc.

Dans la mesure du possible, la gravité de la faille est évaluée, allant de non exploitable à prise de contrôle total du serveur ou vol des informations confidentielles.

LansecureCyberDefense est en mesure de vous délivrer une attestation, prouvant que vous avez réalisé un audit de code. Mise en place sur votre site internet, elle apporte une crédibilité supplémentaire concernant votre sécurité.