Audit Site Web

 
 

Un pentest réalisé sur une ou plusieurs applications web.

L’auditeur teste la sécurité des différentes briques technologiques :

    • Sécurité du serveur web
    • Défauts de configuration du CMS ou framework utilisé
    • Recherche de vulnérabilités sur les composants (exploitation de failles connues ou 0day)
    • Exploitation de vulnérabilités type TOP 10 OWASP sur l’application web
      Bleu vecteur créé par vectorjuice - fr.freepik.com

      L’audit est exécuté suivant plusieurs phases

      La reconnaissance passive (consolidation de la surface d’attaque, recueil d’informations)

      La reconnaissance active (identification des services accessibles)

      L’identification et l’exploitation des vulnérabilités

      Détermination de l’impact réel des failles

      Différents scenarios de test d’intrusion sont envisageables

      Boîte noire (blackbox)

      L’auditeur ne dispose comme information que du périmètre de la mission.
       
       
       

      Boîte grise (greybox)

      L’auditeur se voit attribuer un ou plusieurs comptes sur l’application afin d’évaluer le modèle de permission et tester d’avantages de fonctionnalités.
       

      Boîte blanche (whitebox)

      L’auditeur dispose du maximum d’informations et d’accès sur l’application et son infrastructure afin d’être le plus exhaustif possible dans la recherche de vulnérabilités.

      Dans quels cas choisir le test d’intrusion de site web ?

      Évaluer le niveau de sécurité d’un site.

      Valider que les nouvelles fonctionnalités développées ou une nouvelle version du site soit en adéquation avec les standards et bonnes pratiques de développement sécurisé.

      S’assurer qu’il n’y a pas de fuites d’informations personnelles.

      Auditer le modèle de permissions entre différents comptes qui peuvent avoir des niveaux de privilèges différents.

      Découvrez les aventures de Jean le pentester sur un test d’intrusion de site web pour une description plus imagée.

      Modalités de la prestation

      Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.

      Un mandat juridique entre les différentes parties est édité afin d’encadrer la prestation d’audit de DSecBypass.

      Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.

      g

      Résultats du test d’intrusion

      Les livrables de la mission comprennent un rapport ainsi que deux restitutions optionnelles.

      Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités et préconisations identifiées.

      La restitution technique est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action. La restitution managériale permet d’adresser un public exécutif.