Méthodologie OWASP
Méthodologie OWASP, cartographie, authentification, autorisation, sessions, entrées et validation manuelle avec Burp/ZAP.
Cartographie
Identifie les rôles, parcours, API, fonctions sensibles, domaines, technologies, authentification, uploads, intégrations et frontières de confiance.
Ordre de test
- collecte passive ;
- configuration et déploiement ;
- identité ;
- authentification ;
- autorisation ;
- session ;
- validation d’entrée ;
- erreurs et cryptographie ;
- logique métier ;
- client et API.
Compte de test
Utilise plusieurs rôles synthétiques. Prépare des données que l’on peut modifier ou supprimer sans impact.
Preuve
Pour un contrôle d’accès, compare deux comptes de test et montre uniquement l’accès à une ressource canari. Pour une injection, limite la preuve à une condition booléenne ou un délai contrôlé en lab.
Nettoyage
Supprime comptes, objets, paniers, fichiers uploadés et données créées.
Les scans actifs, fuzzing et tests de logique peuvent modifier les données. Exclue les fonctions de paiement, suppression, notification et intégration réelle sauf autorisation.