Aller au contenu

Commencer

Présentation

Ostorlab est un scanner de sécurité et de confidentialité pour les applications mobiles, les applications web et la découverte de la surface d'attaque.

Trois étapes principales

Découvrir et gérer votre infrastructure et vos actifs externes : Détectez des corrélations et trouvez d'autres actifs dont vous ignoriez l'existence.

Scanner les actifs mobiles, web et réseau : Ostorlab couvre les plateformes Android et iOS, le Web et les API Web, ainsi que les scans réseau. Il peut identifier plus de 500 classes de vulnérabilités et 100 000 dépendances obsolètes ou vulnérables. Il s'appuie sur une analyse statique, dynamique et comportementale robuste pour assurer une couverture élevée de la surface d'attaque de l'application et valider les résultats afin de garantir l'absence de faux positifs.

Remédier : Toutes les vulnérabilités sont regroupées sous forme de tickets qui peuvent être assignés aux développeurs sur la plateforme ou intégrés à un système de gestion de tickets interne. Vous pouvez corriger la vulnérabilité et laisser Ostorlab vérifier et confirmer les correctifs.

Démarrage

  • Créez un compte ici en utilisant votre adresse e-mail et un mot de passe.

Account Registration

  • La page principale est un Tableau de bord (Dashboard), qui vous offre une vue d'ensemble de ce qui se passe.

Il affiche :

  • Une liste des scans récents.

  • Un graphique en radar illustrant les performances de votre organisation par rapport à d'autres selon cinq métriques : le temps moyen de résolution des vulnérabilités, la gravité des vulnérabilités, le pourcentage d'applications sécurisées, le taux d'exceptions et le taux de vulnérabilités réouvertes ; c'est-à-dire des vulnérabilités réapparaissant après une correction.

  • Un graphique de tendance des vulnérabilités représente la fréquence à laquelle les vulnérabilités sont détectées et corrigées.

  • Un calendrier et une carte thermique des scans pour les organisations ayant des politiques et des programmes de conformité spécifiques.

  • Pour lancer un scan, rendez-vous dans le menu New Scan et sélectionnez votre type d'actif.

Asset Type Selection

  • Vous devez ensuite sélectionner votre actif en recherchant dans le store, en téléchargeant un fichier, ou simplement en tapant le lien de votre application web ou de votre adresse IP publique.

Asset Search Interface

  • Vous pouvez vérifier la progression de votre scan dans la section Scanning, d'abord en file d'attente, en cours d'exécution, puis terminé :

Scan Progress Dashboard

  • Pendant que le scan est en cours, vous pouvez déjà commencer à accéder aux résultats du scan.

Vulnerability Findings

  • Vous pouvez cliquer sur n'importe quel résultat pour accéder à des rapports détaillés avec des recommandations, des références et des détails techniques :

Detailed Vulnerability Report

  • La page des scans comporte trois sections :

Vulnerabilities : Liste des résultats exploitables.

Ticket : Liste tous les tickets pour l'actif scanné. Il met automatiquement à jour le statut en fonction du scan précédent.

Dependency : Liste des bibliothèques et frameworks tiers identifiés dans l'application.

  • Vous pouvez également accéder aux artefacts du scan ou générer un rapport PDF. La génération du PDF s'exécute en arrière-plan et vous recevez une notification une fois le rapport prêt.

PDF Generation

  • Tous les scans produisent un ensemble d'artefacts qui varie selon le type de scan.

Scan Artifacts Coverage