Discussion :

[jeff_!]

Bonjour

je vais devoir faire un audit d'une application en php, le problème c'est que je n'ai jamais fait d'audit de code(plutot d'appli).
Je connais assez bien php, je pense utiliser des générateur de doc et des scripts qui test succinctement la sécurité, faire un audit de l'architecture logiciel et de la configuration, base de donnée etc..
mais je ne connais pas "les passages obligés" d'un audit, et je n'ai aucun document pour m'aider.

Auriez des pistes ou des templates

merci

[deruyter]

Désolé, je n'ai pas de doc précise, mais voici en vrac ce que je ferais / testerai.
> faire un mct / un mod (çà permet souvent de prendre du recul sur l'appli et de voir le doigt sur des choix pas toujours sudicieux)
> tester les failles les plus classiques :
- l'affichage du code par un click droit
- le passage de valeurs de variables dans l'url
- la saisie de javascript dans les zones de saisie de formulaire
- l'appel direct à des pages web/fichiers en tapant l'adresse directementl en dehors de toute naviguation controlée
Cela ne reste que des pistes.
J'espère que çà vous aidera quand même