Ajouter une cible réseau ou un site web

  1. Cliquer sur Gestion des actifs > Cibles réseau et sites web
  2. Cliquer sur le bouton Ajouter
  3. Compléter le formulaire.

    • « Nœud » correspond au nœud depuis lequel lancer les analyses ;
    • « Cible » correspond à la cible réseau ou au site web à analyser ; vous pouvez indiquer une cible réseau sous la forme d’un nom de domaine ou d’une adresse IP, ou un site web sous la forme d’une URL ; dans les deux cas, un scan de port est effectué sur la cible ainsi qu’une reconnaissance des services utilisés afin de déterminer les versions des services exposés.
  4. Valider en cliquant sur « Sauvegarder »

Configurer les paramètres de scan

Certains paramètres avancées sont configurable par politique d’analyse, dont la durée maximum de scan web et la durée maximum de parcours web. Il faut pour cela se rendre dans Réglages > Politique d’analyses, et éditer les politiques des cibles et sites webs concernés. Les paramètres de scan se trouvent dans la section « Paramètres avancés ».

Concernant le scan d’application web, plusieurs options peuvent être configurées :

  • Durée maximum de parcours : Il s’agit du temps maximum alloué à l’exploration de la surface d’attaque, telle que la découverte des pages, des paramètres et des formulaires présents.

  • Durée maxium de scan : Une fois la phase d’exploration terminée, un ensemble de modules spécifiques testant des vulnérabilités potentielles vont être exécutés. Cette valeur contrôle le temps d’exécution maximum alloué à chacun de ces modules.

  • Headless : Le mode headless va utiliser un navigateur sans interface pour tester les vulnérabilités de sécurité en simulant des actions utilisateurs dans des applications web, notamment celles construites avec des frameworks JavaScript comme Angular, React ou Vue.

Certaines applications à scanner en mode headless peuvent nécessiter plus de temps, et obtenir des résultats partiels avec les durées maximales par défaut. Dans ce type de cas, les valeurs recommandées à configurer dans la politique de scan sont de 600 secondes pour la durée maximum de parcours et 300 secondes pour la durée maximum de scan.

Scans web authentifiés

Lors de l’ajout ou de l’édition d’une cible réseau, il est possible de spécifier un jeu d’identifiants et une méthode d’authentification. Ces paramètres ne s’appliquent que quand la cible est un site web, ou au moins à un port HTTP ouvert.

Afin d’activer l’authentification, il est nécessaire de créer préalablement un jeu d’identifiants de type Scan web depuis le menu Identifiants enregistrés.

Les méthodes d’authentification correspondent aux types supportés par l’en-tête HTTP Authorization, à l’exception de la méthode post qui simule un utilisateur qui entre ses identifiants dans un formulaire de connexion. L’URL du formulaire de connexion ne s’applique qu’à la méthode post.

Produits supportés par les cibles réseau ou site web

Cyberwatch supporte toute adresse IP, comme tout URL ou nom de domaine valide et résolu.

Dans l’ensemble des cas, Cyberwatch vérifie quels ports sont ouverts parmi les 3000 ports les plus couramment utilisés. Sur les ports ouverts, deux stratégies d’analyse sont utilisées.

  • Un scan passif, qui détecte les versions des services exposés sur chaque port de la cible, et identifie les vulnérabilités qui y sont associées. Lorsqu’il s’agit d’un port web, un scan supplémentaire permettant d’identifier des défauts de configuration issus du top 10 OWASP est aussi exécuté. Ce dernier couvre entre autres les défauts de configuration au sein des headers, et identifie les librairies utilisées.

  • Un scan actif, qui est un examen plus approfondi en fonction des spécificités de chaque port. Si le port supporte le TLS, un audit TLS est effectué afin d’identifier si des suites cryptographiques faibles sont acceptées, l’utilisation de protocoles dépréciés ou une invalidité du certificat. Si le port répond aux requêtes http/https, Cyberwatch effectue un second scan dont le but est d’identifier d’autres défauts de configuration issus du top 10 OWASP, comme par exemple la possibilité d’effectuer des injections XSS/SQL…