Audit Application
Que ce soit un pentest de client lourd ou un pentest d’application mobile (Android, iOS), nos consultants sont dans la capacité de fournir une analyse approfondie de leur sécurité en se basant sur des techniques de rétro-ingénierie (reverse engineering) et d’attaques sur d’éventuelles communications réseaux et API.
Analyse des codes sources (SAST)
Identifier les pratiques à risque et les vulnérabilités introduites dans le code source de l’application.
Analyse de la logique applicative dans les libriairies natives ou DLL.
Analyse dynamique (DAST)
Exploitation de failles systèmes sur les clients lourds (dll hijacking, buffer overflow, injections Powershell / Bash), attaque des flux entre l’application et les serveurs en se basant sur les techniques d’exploitation web : exploitation de faiblesses dans l’API, vulnérabilités dans la logique applicative. Exploitation des services exposés par l’application Android.
Dans quels cas choisir le test d’intrusion d’application ?
Vous développez des applications mobiles iOS ou Android, ou bien des clients lourds (.net, Java, scripts, binaires).
Vous souhaitez vérifier le niveau de sécurité de l’application d’un tiers.
Modalités de la prestation
Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.
Un mandat juridique entre les différentes parties est édité afin d’encadrer la prestation d’audit de DSecBypass.
Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.
Résultats du test d’intrusion
Les livrables de la mission comprennent un rapport ainsi que deux restitutions optionnelles.
Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités et préconisations identifiées.
La restitution technique est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action. La restitution managériale permet d’adresser un public exécutif.
