// owasp asvs 5.0 · niveau 1
Auto-évaluation OWASP ASVS niveau 1
25 questions issues du standard OWASP ASVS 5.0 (mai 2025) — le référentiel international de sécurité applicative. Le niveau 1 est la baseline attendue pour toute application publique. Aucun scan, juste 5 minutes de questionnaire.
V2.1.1 · Authentification
1. Les mots de passe utilisateurs sont stockes avec un hash adapte (bcrypt/argon2/scrypt), jamais en clair.
V2.1.5 · Authentification
2. La verification d'identite resiste au credential stuffing (rate-limit, captcha apres N echecs, MFA).
V2.2.1 · Authentification
3. Authentification multi-facteur (MFA/2FA) disponible pour les comptes admin.
V3.2.1 · Sessions
4. Les sessions sont generees cote serveur avec une entropie >=128 bits.
V3.4.1 · Sessions
5. Les cookies de session ont les flags Secure, HttpOnly, et SameSite.
V3.5.2 · Sessions
6. Le logout invalide la session cote serveur, pas seulement cote client.
V4.1.1 · Controle d'acces
7. Le controle d'acces est applique cote serveur a chaque endpoint, jamais uniquement en UI.
V4.2.1 · Controle d'acces
8. L'application empeche les acces horizontaux (utilisateur A ne peut pas voir les donnees de B).
V5.1.3 · Validation/encodage
9. Toutes les entrees utilisateur sont validees avec une liste blanche stricte.
V5.3.4 · Validation/encodage
10. Les requetes SQL utilisent des parameter binding (jamais de concatenation).
V5.3.1 · Validation/encodage
11. Toute sortie HTML est encodee pour empecher XSS reflechi/stocke.
V5.5.2 · Validation/encodage
12. Le parser XML est configure pour bloquer l'inclusion d'entites externes (XXE).
V6.2.1 · Cryptographie
13. Les algorithmes cryptographiques sont reconnus (AES-256, SHA-256+, jamais MD5/SHA-1).
V7.3.1 · Logs
14. Les logs contiennent un timestamp UTC + identifiant utilisateur + IP source.
V7.4.1 · Logs
15. Les messages d'erreur ne revelent pas la stack technique au utilisateurs.
V8.3.1 · Protection donnees
16. Les donnees sensibles (mots de passe, cles, PII) ne sont jamais journalisees.
V9.1.1 · Communications
17. Tout le trafic est en HTTPS, avec redirection automatique depuis HTTP.
V9.1.2 · Communications
18. TLS 1.2 minimum, avec suites cryptographiques fortes (pas de cipher en RC4/3DES).
V11.1.1 · Logique metier
19. Les flux metier critiques (paiement, deletion) ont une protection anti-replay.
V12.1.1 · Fichiers
20. Les fichiers uploades sont scannes (taille, type MIME, signature) avant stockage.
V13.1.4 · API
21. Les API REST exposent une politique CORS restrictive (whitelist d'origines).
V13.2.1 · API
22. Les endpoints GraphQL desactivent l'introspection en production.
V14.3.3 · Configuration
23. Les fichiers techniques (.env, .git, /admin/, /server-status) sont inaccessibles publiquement.
V14.4.1 · Configuration
24. Headers de securite presents : CSP, HSTS, X-Frame-Options, X-Content-Type-Options.
V14.2.1 · Configuration
25. Les dependances tierces sont auditees regulierement (npm audit, OSV-scanner, Trivy).
// audit complet
Cet outil teste 2-3 critères. L'audit complet couvre 24 dimensions sur 6 couches — recon, vuln scanning, DAST actif, anti-phishing et triage IA, avec rapport PDF white-label.