Security/Privacy by design - Surface d'attaque

⚠️ Cette section est en cours de construction.

Module : Avenirs-ESR / ePortfolio - Attack Surface Analysis
Objet : Check list pour la limitation de la surface d’attaque

Révision : 1.0.0.
Date : 10/04/2024.
Auteur : A. Deman.
Commentaire : Version initiale - Draft

---

[TODO]

• Prévoir une vision “attaquant” dans le dossier d’architecture technique.
• Etudier les outils d’aide à l’analyse de la surface d’attaque :
  • Scope
  • ThreatMapper
  • Scanners :
    • OWASP Zed Attack Proxy(ZAP)
    • Skipfish - archivé ancien ?
    • Ecsypno anciennement Arachni (Commercial)

Sources

Attack Surface Analysis Cheat Sheet. A lire :

• (Measuring Relative Attack Surfaces)[https://www.cs.cmu.edu/~wing/publications/Howard-Wing03.pdf]
• A voir si l’utilisation de métriques est pertinent: An Attack Surface Metric (2011)

Identifier les points d’attaque potentiels

• UI : formulaire et champs de saisie.
• HTTP headers.
• Cookies.
• APIs.
• File.
• Database.
• Local storage / indexed database.
• email, notifications, messages in general.
• Runtime argument.
• …

Identifier les données manipulées

• c.f. Dictionnaire des données classifié par criticité.

Points de vérification

• [TODO]