Scanner de sécurité des applications web : analyse automatisée avec Archani

Le contrôle de sécurité automatisé des sites Web est un processus automatisé qui analyse périodiquement un site Web. Il vérifie les failles de sécurité et met à disposition des rapports au format HTML. Les vulnérabilités trouvées sont ainsi consultables par les équipes de développement et systèmes. Même si le site a été conçu avec une vigilance de sécurité, et afin que les informations restent sécurisées à mesure que le site évolue, tout au long des processus de déploiement, de la phase initiale à la maturité, l’analyse de sécurité doit être effectuée régulièrement.
Un système automatisé d’analyse avec un scanner de sécurité des applications Web, qui exécute quotidiennement les contrôles de sécurité pertinents et qui en fin de semaine effectue une analyse approfondie de découverte/apprentissage répond à la plupart des exigences du service de sécurité.

Comment mettre en œuvre une analyse automatisée avec un scanner de sécurité des applications web tel qu’Arachni?

Arachni est un scanner de sécurité des applications web open source gratuit qui peut être utilisé pour créer des rapports de sécurité automatisés tout au long du cycle de vie de votre site Web. Arachni a un score de 96 % sur le benchmark de couverture WIVETv3, ce qui le place en tête du classement. Il existe un large éventail de contrôles de sécurité qui peuvent être sélectionnés individuellement comme l’inclusion dans l’analyse, y compris XSS (avec des variantes DOM), injection SQL, injection NoSQL, injection de code, inclusion de fichiers, etc… et sur toutes les plates-formes populaires.
Arachni intègre un navigateur web afin de fournir une couverture suffisante aux applications Web modernes qui utilisent des technologies telles que HTML5, JavaScript, manipulation DOM, AJAX, etc.

Dans le cadre de processus Devops à forte valeur ajoutée, Syloé travaille avec les équipes de développement et de sécurité pour déterminer et mettre en œuvre la politique de sécurité adaptée : l’analyse automatisée de sécurité est un élément clé.

Notre approche pour mettre en place une analyse automatisée de la sécurité des applications Web pour un nouveau client

L’approche de base que nous utilisons pour configurer le scanner de sécurité des applications web avec une analyse automatisée pour un nouveau client est simple :

1) Identifier les contrôles à exécuter

N’incluez que les contrôles relatifs à la technologie sous-jacente, tels que «?Injection SQL?» sur «?PostgreSQL?» par exemple. L’exécution de contrôles non pertinents représente un gaspillage de ressources informatiques. Parce que nous sommes les administrateurs du site, il n’y a pas besoin de découverte.

2) Identifiez les URL à analyser

À la fois pour le site public et pour les pages nécessitant une connexion. Il devrait y avoir des scans distincts pour les scénarios avec connexion en plus des scénarios sans connexion.

3) Scripter la procédure de connexion

Nous avons besoin d’un compte utilisateur dédié à Arachni, configuré avec les droits d’un utilisateur normal/standard. Il ne s’agit donc pas d’un compte utilisateur administratif.
Le script de connexion est un simple script ruby qui peut être appelé depuis la ligne de commande pour être intégré dans l’analyse d’arachni.

4) Finaliser les analyses dans un environnement de test

Arachni propose de nombreux paramètres en ligne de commande afin de personnaliser la procédure d’analyse. Il faut un certain temps pour identifier exactement à quoi ressembleront les analyses finales sur la ligne de commande. Ne lancez pas les analyses sur les serveurs de production pendant le développement des analyses, cela pourrait sérieusement affecter les performances et générer des résultats indésirables — Arachni pourrait remplir plusieurs formulaires plusieurs fois, provoquant de fausses statistiques d’utilisation du site…

5) Scripter les scans

En utilisant crontab et bash, il est assez facile d’automatiser l’ensemble du processus où les rapports arachni (format HTML) sont automatiquement transférés sur un serveur Web et le client peut toujours vérifier le dernier rapport d’analyse de sécurité.

6) Établir un suivi

Un processus automatisé doit être surveillé. Chez Syloé, nous utilisons Zabbix pour générer des alertes lorsqu’il n’y a pas eu de rapport depuis un certain temps et dans les cas où il y a eu des problèmes lors de la génération du rapport. Nous suivons également les temps de traitement de l’analyse pour comprendre l’impact sur les ressources avec des alertes si certaines analyses prennent plus de temps que prévu.

7) Établir une procédure pour traiter de nouveaux problèmes

Les problèmes de sécurité pertinents, identifiés dans l’analyse de sécurité, doivent être résolus. Par exemple, une personne pourrait cibler une semaine pour résoudre les problèmes critiques et 4 à 6 semaines pour résoudre les problèmes de sécurité de gravité moyenne. Envisagez de désactiver temporairement les nouvelles fonctionnalités jusqu’à ce que le problème soit résolu. Si la vulnérabilité est trouvée dans l’analyse quotidienne d’arachni, il est prudent de supposer que cela sera également reporté dans les analyses de hackers….

Contactez-nous pour configurer votre scanner de sécurité des applications web avec une analyse automatisée.

Arachni est un outil très puissant qui peut être utilisé pour soutenir le cadre de sécurité de votre site Web. Chez Syloé, nous croyons à une surveillance étroite et à l’utilisation de l’analyse de sécurité automatisée pour identifier les nouvelles vulnérabilités. Nous avons l’expérience du durcissement et de la résolution de nombreux types de problèmes de sécurité sur les réseaux, les systèmes et les applications. Nous personnalisons des solutions pour les applications Web des clients avec des outils tels qu’Apache ModSecurity. Veuillez nous contacter pour des renseignements..