Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Qualys renforce l’automatisation de l’analyse des applications Web

décembre 2011 par Marc Jacob

Qualys®, Inc. annonce une nouvelle version de QualysGuard Web Application Scanning (WAS) 2.1 qui s’intègre à Selenium pour aider les entreprises à automatiser encore plus l’analyse des applications Web qui nécessitent une authentification complexe.

L’un des défis des tests dynamiques de sécurité des applications (DAST) est la capacité à s’authentifier avec succès à l’application lors d’une analyse. La solution QualysGuard WAS 2.1 relève ce défi de manière unique en prenant en charge les scripts Selenium, ce qui lui permet d’optimiser les analyses d’applications Web authentifiées et d’identifier les vulnérabilités. Avec le plug-in Selenium (http://seleniumhq.org/projects/ide/), il est possible d’enregistrer les actions du navigateur Web et de les sauvegarder sous forme de scripts pouvant être relus ultérieurement. En s’appuyant sur Selenium, WAS 2.1 analyse de manière efficace les applications Web qui exigent une authentification complexe accompagnée de processus de connexion en plusieurs étapes.

« Les pirates motivés par l’appât du gain s’étant recentrés sur les applications, la sécurité des applications Web est devenue une priorité absolue. Cependant, la responsabilité de la sécurité des applications Web ne peut pas uniquement reposer sur la sécurité de l’information, » déclare Neil MacDonald, vice-président et associé de Gartner. « En effet, les entreprises doivent identifier les vulnérabilités des applications Web plus en amont du processus de développement et de la manière la plus transparente possible en utilisant des produits ou des services de test de sécurité des applications Web. »

Qualys a travaillé avec des clients tels que Daimler AG afin de trouver la meilleure solution pour enregistrer et relire les séquences d’authentification complexes requises par certaines applications Web. Daimler et d’autres clients Qualys utilisent l’outil Selenium pour enregistrer et relire les actions des utilisateurs dans un navigateur Web afin de tester les applications Web. En facilitant la relecture des scripts Selenium dans le scanner QualysGuard Web Application, Qualys s’appuie sur la technologie et l’expertise de ses clients pour offrir un moyen nouveau et puissant de réaliser des analyses authentifiées.

Outre le support de Selenium, QualysGuard WAS 2.1 offre des fonctionnalités majeures dont :

La prise en charge de certificats clients : désormais, WAS 2.1 prend en charge les certificats SSL clients requis par de nombreuses applications Web à haut risque. Dorénavant, il sera donc possible de télécharger les fichiers de certificats SSL clients qui seront ensuite utilisés par la solution WAS pour procéder à une analyse authentifiée. Ceci permettra d’étendre la couverture de l’analyse et d’augmenter le nombre de vulnérabilités identifiées au sein des applications Web.

Black List des requêtes Post : grâce à ces listes noires, il est possible d’identifier les pages pour lesquelles il est déconseillé de soumettre des formulaires. Ceci évite les désagréments potentiels liés à la publication de formulaires tout en permettant d’évaluer la visualisation des pages pour vérifier la sécurité des vulnérabilités, ce qui augmente la couverture et réduit les risques de l’impact de l’analyse sur l’application.

Support d’URL supplémentaires : WAS 2.1 étend sa couverture et permet d’entrer une liste de liens à analyser qui ne sont pas toujours liés à l’URL initiale.

Immédiatement disponible pour les clients basés aux États-Unis, QualysGuard WAS 2.1 sera à la disposition des entreprises européennes le 15 décembre 2011. Fournie sous la forme d’un abonnement annuel calculé d’après le nombre d’applications Web, cette solution comprend un support 24 heures sur 24, 7 jours sur 7 ainsi que des mises à jour complètes.


Voir les articles précédents

    

Voir les articles suivants