L'audit de sécurité suit une méthodologie complète développée depuis plusieurs années et analyse les vulnérabilités des applications web et PHP. Cet audit fournit une évaluation détaillée des vulnérabilités présentes dans votre code PHP, des pratiques de développement non-sécurisées et une protection contre un large spectre de techniques d'attaques identifiées. Des tests de pénétration manuels et automatiques, et une revue des processus transactionnels de l'application. 

Les défis de la sécurité applicative

Le coût moyen des violations de données a atteint la somme de 7,2 Milliards de dollars en 2010. L'abandon des clients suite à la publication de ces violations est le facteur prédominant ; le temps passé à redorer une réputation après un problème de sécurité est immense. Avec un nombre d'attaques croissant et de nouvelles méthodes qui ciblent souvent des fonctionnalités et des couches multiples au sein d'une même application, il est essentiel pour les entreprises d'identifier les risques qui peuvent être à l'origine de l'exposition de données sensibles ou de l'exécution d'un code malveillant qui aurait pour résultat un comportement applicatif erratique. L'audit de sécurité de Zend fournit une évaluation du risque complet basée sur la classification des menaces définies par le Open Web Application Security Project (OWASP), à toutes vulnérabilités identifiées. Les recommandations détaillées sont par la suite discutées pour chaque risque de sécurité identifié. 

 

L'audit de sécurité évalue un large spectre de vulnérabilités applicatives qui inclut :

  • Vulnérabilités fonctionnelles
    • Inclusion de code PHP et évaluation du code PHP
    • Exécution Shell 
    • Injection SQL et injections HTTP Header
  • Vulnérabilités Cross Site Scripting (XSS) 
  • Cross Site Request Forgeries (CSRF)
  • Permissions sur les fichiers, contrôle d'accès et installation
  • Analyse de la gestion de session 
    • Faiblesses dans la gestion de session
    • Fixation et vol de sessions
    • Usage des cookies sécurisés et des cookies HttpOnly 
  • Interfaces externes - Accès bases de données, WebServices, API Facebook
  • Vulnérabilités côté client (en option)

Scan de sécurité rapide

Zend propose également un aperçu rapide de l'état de sécurité de votre application via un rapide scan de sécurité. Ce Quick Scan passera en revue votre application en utilisant des outils automatisés afin d'identifier les patterns de codage qui peuvent conduire à des vulnérabilités. 

Le Quick Scan est un Black-Box-Test, où les ingénieurs sécurité de Zend répliquent les techniques typiques utilisées par les parties externes qui essaient d'attaquer les applications web sans y avoir accès ou sans connaissances du code source ou de l'infrastructure elle-même.

Le Quick Scan se conclura par un document résumant les vulnérabilités principales identifiées durant le scan. Le processus automatisé du Quick Scan est inclut par défaut dans l'audit de sécurité complet présenté plus haut et peut également être une étape préliminaire avant l'exécution d'un audit de code complet.