Coopérative numérique Corse
web2day hacker pour mieux développer en 10 minutes.

Web2day 2017 : Hacker pour mieux développer en 10 minutes.

A l'occasion du Web2day 2017, j'ai participé à une conférence intéressante traitant de la sécurité des applications web de manière générale. Initié par Paul Molin, le talk ouvre la question d'une méthode de travail permettant aux développeurs d'applications web de prendre en compte les aspects sécuritaires durant la phase de réalisation d'un projet. Il existe en effet plusieurs moyens de se prémunir des attaques sur des applications en production, cependant, l'une des préventions les plus efficaces reste quand même l'anticipation. 

Il existe bien souvent au sein d'une entreprise une équipe de développeurs ainsi qu'une équipe orientée "sécurité". Plutôt que d'effectuer des aller-retours entre le développement de features et la découverte de failles de sécurité (aussi intitulée régressions), le speaker a souhaité présenter aujourd'hui un outil simple et puissant permettant d'anticiper la présence de failles avant d'être exploitées : le projet ZAP.

Le OWASP Zed Attack Proxy (ZAP) est l'un des outils de sécurité gratuits les plus populaires au monde et est activement maintenu par des centaines de bénévoles internationaux. Il aide les utilisateurs à trouver automatiquement des vulnérabilités de sécurité dans vos applications Web pendant que vous développez et testez vos applications. C'est aussi un excellent outil pour les pentesters expérimentés à utiliser pour les tests de sécurité manuels.

Suite à une description succincte de l'outil ainsi qu'une rapide installation et configuration de ZAP, Paul a effectué une démonstration durant laquelle le logiciel a détecté de nombreuses failles de sécurité au sein d'une application basée sur Angular 2. Cette application web constituant une sorte de "sandbox pour hacker" (application intitulée Juice shop) a permis de mettre en avant, à destination de toute l'audience, les nombreux avantages à l'utilisation de ZAP au sein de nos méthodes de travail.

A l'aide ce logiciel et bien d'autres sur le marché de la sécurité web (tels que Metasploit), il est dorénavant facile pour nous, développeurs, de se prémunir d'éventuelles failles de sécurité pouvant être générées (indirectement et inconsciemment) lors de la réalisation et le développement de notre application web.

Pour résumé simplement : il ne tient qu'à nous de prendre réellement conscience de tous les critères qui définissent notre application et utiliser les solutions mises à notre disposition pour faire de notre application une véritable application robuste.

Retrouvez Paul Molin sur son fil d'actualité Twitter : @paulmolin42

Mots clés