Mon outil préféré pour les audits / évaluations PCI DSS en termes d'application Web est Fiddler (ou FiddlerCap). Vous pouvez donner l'un de ces outils à un débutant ou à une grand-mère et ils seront en mesure de le comprendre avec peu d'instructions.
Vous leur demandez de vous envoyer un fichier SAZ (ou un fichier FiddlerCap), ce qui les implique d'utiliser la boîte de dialogue d'enregistrement après avoir utilisé Internet Explorer pour parcourir leur application Web.
Ensuite, vous pouvez voir le trafic HTTP / TLS et déterminer comment l'application fonctionne et comment elle traite les informations de carte de paiement. Le plugin Fiddler, Casaba Watche r peut traiter les sessions hors ligne après que vous lui ayez donné des informations sur le site (ajoutez le domaine de premier niveau et les sous-domaines). Watcher effectuera certaines activités OWASP ASVS, que vous pouvez mapper à ASVS et réviser. Tout cela est possible sans accès à l'application (par exemple, cela peut être dans un environnement QA ou dev). Vous souhaitez généralement obtenir ces informations dès qu'un développeur a une version wifreframe disponible - bien avant que l'application ne soit mise en production ou en production.
Si vous avez accès à l'application Web, alors Fiddler peut également être d'une utilisation ultérieure. Je suggère de sélectionner n'importe quelle partie qui a une entrée utilisateur et d'exécuter le plugin Casaba x5s contre elle. La configuration de x5s est plutôt compliquée, mais les auteurs et autres en ligne seraient certainement prêts à vous aider à le configurer et à comprendre les résultats. Fiddler a la capacité de rejouer les requêtes, il est donc préférable d'utiliser cette fonctionnalité (c'est-à-dire de rejouer une requête à la fois) au lieu de parcourir le site en direct avec Fiddler et x5 configurés pour s'exécuter. L'analyse des résultats n'est pas aussi compliquée que la configuration, car elle ne nécessite absolument pas que vous sachiez quoi que ce soit sur HTML ou JavaScript.
Les résultats de ces 3 outils ne sont pas concluants. Cependant, ils sont PLUS concluants que l'exécution d'un scanner d'application Web ou d'un outil de sécurité - commercial, 500 000 $ / an ou non. Je ne recommande pas NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free / Professional, ou tout autre «scanner / outil» pour les travaux d'audit ou d'évaluation PCI DSS.
Ce dont vous avez besoin après les bases est d'embaucher et de travailler avec une société de conseil en sécurité des applications spécialisée dans ce type d'évaluations. Il est fort probable qu'ils aient leurs propres outils, développés en interne, qu'ils ne souhaitent pas partager ou vendre.
Ils voudront accéder à une copie du code source à construire de la ou des applications Web ). Il est préférable de leur fournir un fichier vmdk / OVF / VHD qui inclut une copie développeur de votre IDE et / ou serveur de build avec une build fonctionnelle, y compris toutes les dépendances et SDK. Ils peuvent ensuite fournir la configuration nécessaire et d'autres recommandations pour le moment où l'application entre en phase de préparation ou de production.