Tests « Glass box » : Pensez dans la boîte

IBM Software
Rational
Tests « Glass box » : Pensez
dans la boîte
Livre blanc
2
Tests « Glass box » : Pensez dans la boîte
Contenus
2 Récapitulatif
2 Présentation
4 Tests Glass box
5 Les avantages
7 Le potentiel
7 Conclusion
Récapitulatif
Les outils automatisés pour l’évaluation de la sécurité des
applications web se répartissent en deux catégories principales :
les outils Black box et White box. Ces deux approches se
caractérisent par des avantages et des inconvénients, et la plupart
des entreprises utilisent donc les deux technologies pour obtenir
de meilleurs résultats. Ces dernières années, IBM a mené des
recherches, des développements et des dépôts de brevets
pour créer une nouvelle approche passionnante baptisée
« Glass box »,1 qui permet de tirer parti des avantages des
deux méthodes.
Avec la méthode de test « Glass box », vous observez les actions
d’une application de l’intérieur, pendant qu’elle s’exécute. Des
études ont montré que cette approche peut considérablement
améliorer l’analyse Black box, notamment la couverture logique
de l’application, la détection de problèmes de sécurité difficiles à
cerner avant et la qualité du reporting pour l’utilisateur. En plus,
vous bénéficiez des avantages de l’approche White box, avec une
visibilité complète sur le code, le moteur d’exécution, les
interactions internes, et bien d’autres éléments.
Ce document est destiné à présenter l’approche innovante des
tests « Glass box », leurs modes de fonctionnement, leurs
performances comparées à d’autres outils d’analyse d’applications
web et leurs avantages. L’objet de ce document est d’apporter
des informations sur la technologie et son potentiel, bien au-delà
de la mise en œuvre de la technologie « Glass box » avec le
logiciel IBM® Rational AppScan.
Présentation
La communauté OWASP (Open Web Application Security
Project) répertorie les menaces les plus récentes susceptibles
d’exposer les applications à des menaces. Le projet « OWASP
Top 10 » est devenu la norme pour évaluer les vulnérabilités
d’une application web.2 Les publications OWASP aident les
développeurs, les spécialistes chargés de tests de sécurité et les
architectes à se recentrer sur des stratégies efficaces de
conception et de limitation des risques. Lorsque les développeurs
et les spécialistes des tests mesurent et comparent la couverture
de leurs outils d’évaluation de la sécurité des applications,
notamment les outils Black box et White box, ils utilisent
souvent cette liste comme base de leurs évaluations.
2010 OWASP Top 10 - Les dix risques de sécurité applicatifs
web les plus critiques
A1. Injection ;
A2. Cross-site scripting (XSS) ;
A3. Violation de la gestion des sessions et des
authentifications ;
A4. Références directes non sécurisées à un objet ;
A5. Falsification de requête intersite (CSRF) ;
A6. Mauvaise configuration de la sécurité ;
A7. Stockage cryptographique non sécurisé ;
A8. Manque de restriction d’accès à une URL ;
A9. Protection insuffisante de la couche transport ;
A10. Redirection et renvois non validés.3
Tests White box
Les analyses White box, également baptisées analyses statiques
ou SAST (test de logiciel par analyse statique), permettent
d’analyser le code source d’une application. Pour ce type
d’analyse, l’exécution de l’application n’est pas nécessaire.
Certains outils d’analyse statique nécessitent la compilation du
code, mais cette opération est limitée à des cas spécifiques. Il n’y
a pas d’exigence concernant la compilation du code.
Sous sa forme la plus élémentaire, un outil d’analyse statique
procède à l’analyse du code lui-même, examine les fonctions
appelées et évalue les flux de contrôle et de données des
IBM Software
applications. Le flux de contrôle détermine les différents
chemins d’exécution possibles lorsqu’un utilisateur exécute
l’application avec différentes données. Le flux de données
identifie les modalités de déplacement des variables dans
l’application, et la localisation des entrées.
La méthode la plus couramment utilisée dans l’analyse statique
est appelée « taint analysis » (ou propagation d’une marque
apposée). L’analyse par propagation d’une marque examine
différents flux de données, en recherchant tous les champs
d’entrée qu’un attaquant pourrait manipuler, et en surveillant
leur utilisation dans l’ensemble de l’application.4 Si une entrée
de données apparaît dans une action sensible, comme par
exemple l’exécution d’une requête SQL (Structured Query
Language), l’outil peut déterminer l’existence d’une
vulnérabilité. Il existe d’autres approches concernant l’analyse
statique, mais qui dépassent l’objet de ce document.
L’intérêt principal des tests White box réside dans l’examen du
code de l’ensemble d’une application. Cette solution permet de
mettre en lumière les lignes de code spécifiques correspondant à
la vulnérabilité identifiée. Cependant, l’approche présente
quelques inconvénients :
●●
●●
●●
●●
Bien que l’objectif des outils de test White box consiste à
identifier tous les flux de contrôle et de données possibles
dans une application, il n’est pas toujours possible d’y parvenir.
Les scénarios de flux d’exécution sont nombreux, notamment
l’utilisation de l’image au lancement de l’exécution, qui
constitue un défi pour cette technologie. Ces outils
rencontrent également des difficultés à identifier correctement
les f lux de contrôle basés notamment sur des fichiers de
configuration et des bases de données.
Les outils White box ne testent que le code d’une application.
Ils ne prennent pas en compte un déploiement spécifique,
susceptible d’introduire de nouveaux problèmes de sécurité ou
d’amplifier ceux qui existent.
Les outils de test White box ne peuvent pas toujours analyser
les problèmes complexes identifiés dans de grandes bases
de code.
Les résultats obtenus sont avant tout théoriques. Vous ne
disposez généralement pas de preuves concrètes indiquant
qu’un agresseur distant peut effectivement exploiter une
exposition théorique.
3
Tests Black box
Les tests Black box, également baptisés analyses fonctionnelles
ou DAST (test de logiciel par analyse dynamique), constituent
une méthode éprouvée d’évaluation de la sécurité des
applications. Ils consistent à tester les fonctionnalités d’une
application plutôt que le code source ou les traitements internes.
La mise en œuvre de ces tests ne nécessite ni connaissances
spécifiques du code et de la structure interne de l’application, ni
compétences générales en matière de programmation.
Sous sa forme la plus élémentaire, le scanner du test Black box
explore une application web exactement comme un utilisateur
normal le ferait, puis génère des tests en fonction des
informations obtenues pendant cette phase d’exploration. Il
analyse ensuite les réponses reçues de l’application et détermine
si elles indiquent ou non une vulnérabilité à une attaque
spécifique. Du fait que les traitements internes du système ne
sont pas pris en compte durant ce type de test, il est possible
d’analyser n’importe quel type d’application web. La complexité
du code de l’application n’a aucun impact, pas plus que le
langage de programmation utilisé. En outre, les modes de
génération des données produites par l’application ne sont pas
traités par le scanner. Le processus de validation de ces outils
s’appuie simplement sur les actions mises en œuvre par
l’application au cours de chaque test spécifique.
Malgré leurs avantages, les outils de test Black box possèdent des
inconvénients auxquels les outils White box répondent mieux :
●●
●●
Couverture. Les outils de test Black box n’agissant pas au
niveau du code source, mais plutôt au niveau d’une application
web exécutable et accessible au travers d’une adresse URL, il
est possible qu’ils omettent de vérifier certains éléments
(paramètres, pages, adresses URL) auxquels l’application web
ne fait pas explicitement référence.
Visibilité. Les outils de test Black box s’appuient sur les
réponses des serveurs pour la validation des problèmes. Bien
qu’il soit évidemment possible de valider la plupart des
vulnérabilités en se basant sur la réponse d’une application, ce
n’est pas toujours le cas. À titre indicatif, les vulnérabilités
relatives à un processus de stockage cryptographique non
sécurisé ne sont fréquemment pas révélées dans une réponse
HTTP (Hypertext Transfer Protocol), car elles font parfois
référence aux modalités de stockage des données dans le
système, et non aux modalités d’envoi à l’utilisateur.
4
●●
●●
Tests « Glass box » : Pensez dans la boîte
Résolution. Bien que les problèmes identifiés par des tests
Black box soient faciles à reproduire, la mise en
correspondance de ces résultats liés au niveau HTTP avec le
code source correspondant n’est pas toujours simple. Ce qui
conduit à des difficultés pour identifier les corrections
apportées au code.
Redondance. Les tests Black box n’ont pas la capacité à
identifier de quelle manière une application utilise un
paramètre d’entrée et dans quel contexte il est utilisé. Pour
éviter la détection de faux négatifs, chaque paramètre doit être
testé rigoureusement vis-à-vis de tous les types de
vulnérabilités. Cependant, si cette approche garantit une
couverture appropriée en termes de sécurité, elle conduit par
ailleurs à des tests superflus.
L’approche nouvelle et innovante proposée par IBM consiste à
conjuguer les avantages de l’« environnement d’exécution » liés
aux tests Black box, et la « connaissance de l’application »
obtenue grâce aux tests White box, ce qui permet de résoudre
l’ensemble des difficultés qui ont été citées.
Tests Glass box
Les tests Glass box apportent globalement des capacités plus
performantes de vérification des applications. L’approche permet
de gagner en fiabilité, en degré de couverture, en performances
et en capacités de reporting. Si une analyse Black box courante
s’appuie principalement sur une réponse de serveurs pour
déterminer l’existence d’une vulnérabilité, la technologie Glass
box permet, pour sa part, d’analyser à la fois les actions internes
et la structure d’une application web. D’où des analyses plus
complètes. Une analyse comportant des fonctions Glass box peut
également identifier des vulnérabilités plus complexes et
indiquer leur localisation exacte dans le code source.
Pour enrichir les analyses Black box, ces tests utilisent des
informations internes, collectées auprès de différentes sources.
Ces sources d’information, baptisées agents Glass box, forment
un ensemble d’applications de surveillance, pouvant être
installées dans différents composants de l’environnement d’une
application web, en particulier les serveurs web, les systèmes
d’exploitation et les serveurs de bases de données (Figure 1). Un
agent est chargé de surveiller, collecter et analyser des données
pertinentes, puis de renvoyer des informations vers l’outil de test
Black box, qui, à son tour, utilise ces informations pour obtenir
des résultats plus précis.
Serveur cible
AppScan
HTTP
Serveur d'applications
Application web cible
Moteur Glass box
HTTP
Agent Glass box
L'agent Glass box est installé sur le serveur distant
L'agent surveille l'application web testée lors de l'exécution
AppScan reçoit des informations provenant de l'intérieur
de l'application
Figure 1 : Tests Glass box
Les agents Glass box sont positionnés à différents emplacements
du logiciel, au sein même de l’application web ou dans son
environnement. Bien entendu, la localisation exacte de son
installation déterminera les types d’informations susceptibles
d’entraîner un retour d’information. Le tableau ci-après donne
quelques exemples indiquant les différents types d’agents, les
informations qu’ils peuvent collecter et les aspects de l’analyse
pouvant être améliorés par ces informations.
Prenons comme exemple le dernier agent du Tableau 1, associé
au serveur SQL. Les applications web utilisent généralement un
serveur de base de données SQL externe. En installant un agent
Glass box sur ce serveur, il est possible de surveiller l’exécution
de requêtes SQL émises par une application web. Lorsque le
dispositif d’analyse Black box déclenche une attaque par injection
SQL, un agent Glass box peut analyser la véritable requête
SQL pour déterminer si l’attaque a réussi ou non. S’il
constate la réussite de l’attaque, l’agent adresse des informations
au scanner Black box, qui peut ensuite signaler l’existence d’une
vulnérabilité par rapport à une injection SQL. Cette
vulnérabilité sera détectée même si elle n’est pas renvoyée dans
une réponse HTTP. En outre, cet agent peut faciliter
l’identification des ressources à tester pour une injection SQL et
la définition des charges à utiliser, ce qui réduit le nombre de
tests à adresser à l’application, avec pour résultat une meilleure
efficacité globale de l’analyse.
IBM Software
5
Amélioration de l'analyse
Localisation de l'agent
Informations accessibles
Moteur d'exécution d'une
application web
Informations concernant le code exécutable
Serveur web
Système d’exploitation
SQL Server
Exactitude
Performances


Fichiers de configuration


Journaux de serveur web

Création de fichiers

Exécution des processus

Accès au registre

Exécution des requêtes

Informations concernant le code source
Génération de
rapports




Tableau 1 : Localisation d’un agent, informations accessibles et conséquences pour l’analyse.
Autre exemple d’agent Glass box, celui chargé de
l’instrumentation d’un code exécutable. Dans une approche
innovante, le code de l’application web est doté d’une
instrumentation dynamique lors de son chargement. Cet agent
peut ensuite surveiller l’exécution du code de l’application web.
Il injecte dynamiquement du code dans différentes parties de
l’application web, ce qui permet de surveiller la couverture
logique de l’application et des méthodes centrées sur la sécurité.
Grâce à la surveillance de ces méthodes, également baptisées
« sinks », il est possible pour l’agent d’identifier des problèmes
de sécurité de manière aisée et concrète.
exécutée, au niveau du code. Avec cette approche, il n’est plus
nécessaire de tenir compte de la réponse du serveur puisque la
technologie Glass box « visualise » le code lorsque la
vulnérabilité est exécutée.
Ces exemples ne constituent que quelques échantillons de la
manière dont la technologie Glass box permet d’enrichir et
d’améliorer les tests Black box et White box. Les avantages
obtenus appartiennent à trois catégories principales :
●●
●●
Les avantages
La méthodologie Glass box conjugue le meilleur des
environnements de test Black box et White box, en résolvant
leurs limitations de différentes manières. Elle permet de
résoudre les problèmes de couverture des applications analysées
en identifiant la logique masquée et les problèmes de sécurité
non détectés, et en générant les rapports correspondants.
À titre d’exemple, l’un des problèmes majeurs des tests Black box
réside dans la difficulté à détecter des vulnérabilités non
manifestées. Une analyse Glass box permet de résoudre ce
problème en inspectant le fonctionnement de l’application
●●
●●
Une exploration plus efficace ;
Des fonctionnalités de test et de reporting plus performantes ;
Une efficacité accrue des analyses et une plus grande fiabilité
des résultats ;
Une génération plus performante des exploits.
Améliorer la phase d’exploration
Pendant la phase d’exploration d’une analyse Black box, les
agents correspondants peuvent révéler différents éléments
masqués (points d’entrée d’une application web, paramètres,
cookies, structure de l’application). Ces informations sont
ensuite diffusées, ce qui permet au scanner Black box d’accéder à
ces vulnérabilités, améliorant ainsi la couverture de l’application.
6
Tests « Glass box » : Pensez dans la boîte
La technologie Glass box peut détecter des scénarios de
couverture plus compliqués, notamment lorsque l’exécution
d’une application effectue des branchements en fonction d’une
entrée de données d’un utilisateur. Prenons, à titre indicatif, le
code de l’Exemple 1.
Black box. Elle permet de valider des problèmes de sécurité non
manifestés, avec la possibilité de tester l’existence de nouveaux
types de problèmes, notamment la création de fichiers non
sécurisés, la falsification de journaux, le stockage
cryptographique non sécurisé ou les configurations inappropriées
ou altérées, entre autres. De plus, ces tests permettent de
générer des rapports de vulnérabilité performants indiquant le
nom de la méthode vulnérable, le nom du fichier et le numéro
de ligne, le nom de la classe et le contenu exécutable exact de la
vulnérabilité.
Échantillon 1 : Codes illustrant l’impact sur la sécurité d’une entrée de
données par un utilisateur
Gagner en efficacité et en fiabilité
Si le scanner Black box ne positionne pas le paramètre de mise
au point en y associant la valeur « enabled », le code masqué ne
sera pas exécuté, ce qui va altérer la couverture de l’analyse du
fait de l’absence de test sur ce bloc de code masqué. L’analyse ne
pourra donc pas détecter de vulnérabilité concernant cette
partie. La technologie Glass box s’appuie sur différents types
d’analyses pour identifier les types de branchements de code et
les signaler au scanner. Le scanner utilise ensuite le paramètre de
mise au point en testant le code masqué, ce qui permet de
résoudre ce problème de couverture. Le scanner associé à la
technologie Glass box peut également identifier des
vulnérabilités dans ce segment de code masqué.
L’un des types d’analyses utilisables pour résoudre ce problème a
été qualifié de « concolic », un processus conjuguant l’analyse
concrète et l’exécution symbolique. Le processus s’appuie sur
une technique hybride de vérification de logiciel consistant à
entrelacer une exécution concrète, c’est-à-dire un test, pour des
entrées de données particulières, avec l’exécution symbolique.5
Ce type d’analyse permet à un scanner doté de la technologie
Glass box de déterminer comment mettre en forme les entrées
de données pour atteindre des parties importantes du code.
Améliorer la phase de test et le reporting
Grâce à l’approche Glass box, il est possible d’améliorer la phase
de test en créant un ensemble de règles spécifiquement adaptées
pour l’environnement dans lequel est installée l’application. Cet
environnement englobe le système d’exploitation, le serveur
d’applications et les composants tiers éventuels. En outre, grâce
à la surveillance de l’exécution des applications, l’analyse Glass
box permet d’améliorer les performances de validation des tests
Les utilisateurs des outils de test Black box sont fréquemment
amenés à choisir entre les performances et l’exactitude.
Augmenter le nombre de tests, c’est gagner en exactitude, mais
au prix de performances moindres.
Du fait de sa sensibilité à l’environnement applicatif, un scanner
doté de la technologie Glass box est plus efficace. Il permet
d’identifier les tests pertinents pour chaque ressource et de
n’appliquer que ces tests spécifiques. De ce fait, le processus est
globalement plus performant et le scanner peut consacrer
davantage de temps à des attaques complexes, et ce, sans créer de
charges de traitement supplémentaires.
Générer des exploits
Grâce à l’inspection de l’exécution d’une application web, les
agents Glass box peuvent produire des exemples d’exploits
concrets.
Prenons par exemple un problème de sécurité, tel qu’une
injection SQL. L’insertion d’une simple apostrophe dans un
formulaire web, suivie de l’envoi de ce formulaire, peut produire
une réponse du serveur indiquant une vulnérabilité relative à
l’injection SQL. Cependant, l’existence d’une vulnérabilité
particulière n’est pas suffisante pour démontrer qu’elle est
exploitable. La construction d’une attaque dont l’exploitabilité
est démontrée constitue un défi majeur pour les scanners Black
box. Les scanners White box rencontrent même des difficultés
encore plus importantes, car ils ne disposent pas des
informations nécessaires pour générer une véritable requête
HTTP relative à une vulnérabilité.
IBM Software
Les agents Glass box peuvent détecter l’exécution d’une
application web. Après identification d’une vulnérabilité, un
agent Glass box peut adresser au scanner Black box des
informations pouvant faciliter la réalisation d’un exploit
opérationnel et significatif. Les données émises par l’agent Glass
box peuvent contenir la requête SQL exacte qui a été exécutée.
Le scanner peut utiliser ces informations pour créer une requête
HTTP spécifique, capable d’exploiter cette vulnérabilité, en
prenant en compte le contexte de l’injection et différentes
contraintes relatives aux entrées de données par un utilisateur, et
qui ont été identifiées. Cet agent peut également renvoyer des
informations concernant la structure du serveur de base de
données, non seulement pour identifier une vulnérabilité, mais
également pour démontrer rapidement sa gravité.
Le potentiel
Shai Chen, consultant et blogueur indépendant, spécialiste de la
sécurité de l’information, a récemment publié les résultats
d’analyses comparatives de scanners de sécurité appliqués aux
applications web. Menée sur 60 scanners open source et
disponibles dans le commerce, l’étude a permis de réaliser une
synthèse des caractéristiques et des capacités les plus critiques de
chacune des offres concernées. Cette étude, au cours de laquelle
la solution Rational AppScan Standard V8.0.3 a été évaluée
uniquement sur ses caractéristiques Black box, s’est conclue en
plaçant la version initiale de Rational AppScan en tête du
classement des scanners pour son excellente fiabilité globale.
Toutefois, du fait des difficultés inhérentes à l’analyse Black box,
il n’a pas été possible de détecter un certain nombre de
problèmes.
La robustesse de l’analyse Glass box est mise en évidence avec la
solution IBM Rational AppScan Standard V8.5, qui utilise la
technologie Glass box, inédite et innovante. IBM s’est appuyé
sur l’application web « wavsep », utilisée pour la comparaison,
afin d’évaluer la nouvelle technologie Glass box déployée dans la
solution Rational AppScan.6 Le tableau 2 présente les résultats,
qui démontre par ailleurs le potentiel considérable de l’approche
Glass box.
La mise en œuvre de la solution Rational AppScan Standard
avec la technologie Glass box a permis d’obtenir des résultats
remarquables. Les 198 vulnérabilités sont été détectées lors
d’une analyse associée à la technologie Glass box. Cette
technologie a permis de combler les lacunes de l’approche Black
box, grâce à une détection parfaite des problèmes rencontrés, et
ce, sans aucun résultat incorrect.
Grâce à la technologie Glass box, la solution
IBM Rational AppScan Standard Edition
V8.5 a permis d’obtenir des résultats
remarquables et d’identifier facilement
toutes les vulnérabilités présentes dans
une application externe, et ce, sans aucun
faux positif.7
Conclusion
L’analyse automatique Black box de la sécurité des applications
web constitue une approche éprouvée et efficace permettant
d’exécuter une application et de l’évaluer, en fonction de ses
actions. En outre, l’analyse White box permet d’évaluer le code
source d’une application en assurant une couverture plus
performante.
Une nouvelle approche vient d’être ajoutée à cet environnement
de test Black box et White box. L’utilisation d’agents internes
Glass box permet d’améliorer considérablement tous les aspects
du processus d’analyse : exploration, test, exploitation et
reporting. La solution va bien au-delà d’une collection de
nouvelles fonctionnalités ; il s’agit d’une toute nouvelle approche
permettant de conduire des analyses de sécurité, porteuse d’un
potentiel considérable. Grâce à ces avantages, entre autres, cette
approche révolutionnaire a été récemment intégrée dans la
gamme de produits Rational AppScan.
Total des identifications
(nombre) sur 198 possibles
Faux négatifs (nombre)
Faux négatifs (nombre)
Black box
62
0
136
Glass box
198
0
0
Type d'analyse
7
Tableau 2 : Résultats des tests menés avec les technologies Black box et Glass box
En résumé, les tests Glass box apportent les avantages suivants :
●●
●●
●●
Capacité potentielle à répondre à l’ensemble des risques
de sécurité applicatifs web les plus critiques
(liste OWASP top 10) ;
Résolution des lacunes des tests Black box et White box ;
Identification fiable et avec une technologie unique de tous les
risques de sécurité possibles.
L’analyse Glass box transforme par conséquent les approches
actuelles de détection des vulnérabilités et en augmente
considérablement la fiabilité.
Informations complémentaires
Pour en savoir plus sur les avantages de l’analyse d’applications
avec la technologie Glass box, contactez votre interlocuteur
IBM ou votre partenaire commercial IBM, ou visitez le site web
suivant : ibm.comsoftware/products/fr/fr/ibmsecuappsstan
À propos des auteurs
Roi Saltzman est un spécialiste de la recherche en matière de
sécurité, et membre de l’équipe IBM Rational Application
Security and Research, au sein de laquelle il dirige des projets de
recherche et développement en matière de sécurité des
applications. Roi Saltzman est responsable du développement de
fonctionnalités de sécurité pour la gamme de produits Rational
AppScan, de recherches concernant les nouvelles vulnérabilités
des applications et de la réalisation d’audits de sécurité pour les
applications. Spécialiste de la sécurité du web et des réseaux, Roi
Saltzman poursuit des études universitaires en informatique au
sein de l’institut universitaire Interdisciplinary College situé à
Herzliya, en Israël.
Adi Sharabani est responsable de la stratégie et de l’architecture
des offres multimarques des produits de sécurité IBM. Dans le
cadre de ses fonctions, il est responsable de la direction, de la
conception et du déploiement des processus globaux de sécurité
au sein des équipes de développement IBM Rational. Adi
Sharabani a été précédemment responsable de l’équipe
IBM Rational Application Security Research, en charge des
activités de recherche produits et industrie pour la sécurité des
applications web. Il a été distingué du titre « IBM Master
Inventor » pour sa contribution à la supervision de nombreux
brevets et innovations en matière de sécurité des applications
web. Adi Sharabani a rejoint IBM suite au rachat de Watchfire,
et il se consacre, outre ses fonctions au sein de l’entreprise, à
l’enseignement universitaire.
IBM France
17 Avenue de l’Europe
92275 Bois Colombes Cedex
La page d’accueil d’IBM est accessible à l’adresse suivante : ibm.com/fr
IBM, le logo IBM, ibm.com, AppScan et Rational sont des marques ou des
marques déposées d’International Business Machines Corporation aux
États-Unis et/ou dans d’autres pays. L’association d’un symbole de marque
déposée (® ou ™) avec des termes protégés par IBM, lors de leur première
apparition dans le document, indique qu’il s’agit, au moment de la
publication de ces informations, de marques déposées ou de fait aux
États-Unis. Ces marques peuvent également être des marques déposées ou
de fait dans d’autres pays.
Une liste actualisée des marques déposées IBM est accessible sur le
web sous la mention « Copyright and trademark information » à l’adresse
ibm.com/legal/copytrade.shtml
Les autres noms de sociétés, de produits et de services peuvent être les
marques de services de tiers.
Ces informations concernent les produits, programmes et services
commercialisés par IBM France et n’impliquent aucunement l’intention
d’IBM de les commercialiser dans d’autres pays.
1
Technologie faisant l'objet du dépôt du brevet US 20090205047
2
Open Web Application Security Project, https://www.owasp.org;
OWASP Top 10 for 2010, https://www.owasp.org/index.php/Top_10_2010
3
OWASP Top 10 for 2010 - https://www.owasp.org/index.php/Top_10_2010
4
TAJ: Effective Taint Analysis of Web Applications,
http://www.cs.tau.ac.il/~omertrip/pldi09/paper.pdf
5
Concolic Testing, http://en.wikipedia.org/wiki/Concolic_testing
6
Web App Security Scanner Comparison- http://blog.watchfire.com/
wfblog/2011/08/the-ultimate-web-app-security-scanner-comparison-publishedappscan-standard-leads-the-pack.html; Web Application Vulnerability
Scanner Evaluation Project - http://code.google.com/p/wavsep
7
IBM Rational AppScan Standard, http://www.ibm.com/software/products/fr/fr/
ibmsecuappsstan
Toute référence à un produit, programme ou service d’IBM n’implique pas
que seuls des produits, programmes ou services d’IBM peuvent être utilisés.
Tout produit, programme ou service de portée équivalente peut être utilisé.
Cette publication a uniquement un rôle informatif.
Les informations peuvent être modifiées sans préavis. Contactez votre agence
commerciale ou votre revendeur IBM pour obtenir les toutes dernières
informations sur les produits et les services IBM.
Cette publication contient des adresses Internet non-IBM. IBM ne peut pas
être tenu responsable des informations publiées sur ces sites.
IBM ne fournit aucun avis juridique, comptable ou de contrôle et ne garantit
pas non plus que ses produits et services soient conformes à la législation. Il
incombe aux clients de s’assurer que la législation et la réglementation
applicables en matière de titres sont respectées, notamment au niveau
national.
Les photographies présentées dans ce document peuvent représenter des
maquettes.
© Copyright IBM Corporation 2012
RAW14283-FRFR-00