Revue de sécurité du code source

Injection SQL

A03:2021 / CWE-89

Cross-Site Scripting (XSS)

A03:2021 / CWE-79

Cross-Site Request Forgery (CSRF)

A01:2021 / CWE-352

Deserialisation non securisee

A08:2021 / CWE-502

Authentification defaillante

A07:2021 / CWE-287

Exposition de donnees sensibles

A02:2021 / CWE-200

XML External Entities (XXE)

A05:2021 / CWE-611

Controle d'acces defaillant

A01:2021 / CWE-284

Mauvaise configuration de sécurité

A05:2021 / CWE-16

Logging et monitoring insuffisants

A09:2021 / CWE-778

Server-Side Request Forgery (SSRF)

A10:2021 / CWE-918

Execution de code a distance (RCE)

A03:2021 / CWE-94

Path Traversal

A01:2021 / CWE-22

Injection de commandes

A03:2021 / CWE-78

Injection LDAP

A03:2021 / CWE-90

Credentials en dur dans le code

A07:2021 / CWE-798

Cryptographie non securisee

A02:2021 / CWE-327

Generateur aleatoire non sécurisé

A02:2021 / CWE-330

Buffer Overflow

A06:2021 / CWE-120

Race Condition

A04:2021 / CWE-362

Integer Overflow

A06:2021 / CWE-190

Open Redirect

A01:2021 / CWE-601

Clickjacking

A05:2021 / CWE-1021

Mauvaise configuration CORS

A05:2021 / CWE-942

Mass Assignment

A08:2021 / CWE-915

Upload de fichiers non sécurisé

A04:2021 / CWE-434

Directory Traversal

A01:2021 / CWE-22

Prototype Pollution

A06:2021 / CWE-1321

Injection SQL aveugle (Blind)

A03:2021 / CWE-89

Injection NoSQL

A03:2021 / CWE-943

Server-Side Template Injection (SSTI)

A03:2021 / CWE-1336

Vulnérabilités JWT

A02:2021 / CWE-345

Exposition de cles API

A02:2021 / CWE-312

Secrets dans le code source

A07:2021 / CWE-798

Vulnérabilités des dependances

A06:2021 / CWE-1395

Gestion de session non securisee

A07:2021 / CWE-384

Fintech

plateformes de paiement, portefeuilles numériques et applications bancaires...

Healthtech

applications de sante, dossiers medicaux electroniques et dispositifs connectes...

E-commerce

boutiques en ligne, marketplaces et systemes de paiement...

SaaS

applications cloud multi-tenant, APIs et microservices...

Banque

systemes bancaires core, applications de trading et portails client...

Assurance

plateformes de gestion de sinistres, souscription et portails assures...

Industrie

systemes SCADA/ICS, logiciels de supervision et MES...

Defense

systemes de communication securises, C4ISR et applications classifiees...

Energie

reseaux electriques intelligents, SCADA energie et applications de gestion...

Telecom

infrastructure réseau, systemes BSS/OSS et applications client...

Transport

systemes de billettique, logistique et applications de mobilite...

Startup

MVP, applications en croissance rapide et dette technique de sécurité...

Administration publique

teleservices publics, systemes d'identite et portails citoyens...

Education

plateformes e-learning, ENT et systemes de gestion scolaire...

Retail

applications omnicanales, programmes de fidelite et POS...

OWASP Code Review Guide

Revue de sécurité du code selon le guide officiel OWASP, couvrant les 10 categories de risques les p...

SAST - Analyse Statique

Analyse de sécurité statique du code source (SAST) : détection automatisee des vulnérabilités sans e...

DAST - Analyse Dynamique

Analyse de sécurité dynamique (DAST) : tests en boite noire sur l'application en cours d'execution p...

IAST - Analyse Interactive

Analyse interactive de sécurité (IAST) combinant instrumentation du code et tests dynamiques pour un...

SCA - Analyse de Composition

Analyse de la composition logicielle (SCA) : identification des vulnérabilités dans les dependances ...

DevSecOps Pipeline

Integration de la sécurité dans le pipeline CI/CD : scans automatises à chaque commit, gates de secu...

Code Review Manuel

Revue de sécurité manuelle par des experts : analyse humaine du code pour detecter les failles logiq...

Threat Modeling

Modelisation des menaces (STRIDE, PASTA, Attack Trees) appliquee au code source pour identifier les ...

Secure SDLC

Integration de la sécurité à chaque phase du cycle de developpement logiciel : conception, implement...

Shift-Left Security

Approche shift-left : deplacer la sécurité au plus tot dans le cycle de developpement, des l'IDE du ...

Pentest sur le Code

Tests d'intrusion orientes code : exploitation des vulnérabilités identifiees dans le code source po...

Fuzzing

Fuzzing de sécurité : injection automatisee d'entrees aleatoires ou semi-aleatoires pour decouvrir d...

Taint Analysis

Analyse de propagation de donnees corrompues (taint tracking) : suivi du flux de donnees non fiables...

Audit des Dependances

Audit complet des dependances logicielles : CVE connues, licences, maintenabilite, supply chain risk...

Secrets Scanning

Détection de secrets dans le code : scan de l'historique Git complet pour identifier mots de passe, ...