OWASP WSTG
Qu'est-ce que OWASP WSTG ?
OWASP WSTGWeb Security Testing Guide de l'OWASP, manuel open source complet decrivant comment tester les applications web face aux faiblesses de securite les plus courantes.
Le OWASP Web Security Testing Guide (WSTG) est un manuel open source maintenu par la communaute qui documente techniques et cas de test pour le pentest et l'evaluation de securite des applications web. La version 4.2 est decoupee en chapitres tels que Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side et API Testing, chacun avec des IDs de tests precis (par ex. WSTG-AUTHN-01). Chaque test detaille objectifs, mode operatoire et references. Le WSTG sert de base a de nombreuses methodologies de pentest, aux exigences de test en appel d'offres, et de ressource pedagogique aux cotes de l'ASVS et du Top 10.
● Exemples
- 01
Rapport de pentest indexant chaque constat sur l'ID de test WSTG-INPV (Input Validation) correspondant.
- 02
Une nouvelle equipe AppSec utilise les checklists WSTG pour onboarder ses pentesters et standardiser la methodologie.
● Questions fréquentes
Qu'est-ce que OWASP WSTG ?
Web Security Testing Guide de l'OWASP, manuel open source complet decrivant comment tester les applications web face aux faiblesses de securite les plus courantes. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie OWASP WSTG ?
Web Security Testing Guide de l'OWASP, manuel open source complet decrivant comment tester les applications web face aux faiblesses de securite les plus courantes.
Comment fonctionne OWASP WSTG ?
Le OWASP Web Security Testing Guide (WSTG) est un manuel open source maintenu par la communaute qui documente techniques et cas de test pour le pentest et l'evaluation de securite des applications web. La version 4.2 est decoupee en chapitres tels que Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side et API Testing, chacun avec des IDs de tests precis (par ex. WSTG-AUTHN-01). Chaque test detaille objectifs, mode operatoire et references. Le WSTG sert de base a de nombreuses methodologies de pentest, aux exigences de test en appel d'offres, et de ressource pedagogique aux cotes de l'ASVS et du Top 10.
Comment se défendre contre OWASP WSTG ?
Les défenses contre OWASP WSTG combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OWASP WSTG ?
Noms alternatifs courants : Web Security Testing Guide, WSTG.
● Termes liés
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.
- compliance№ 781
OWASP Top 10
Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, outil open source de tests de securite des applications web, issu d'OWASP et desormais maintenu par Checkmarx et la communaute ZAP.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
- compliance№ 204
Conformité
Discipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.
● Voir aussi
- № 778OWASP MASVS