Dans ce type de test, nous simulons les manipulations d’un pirate informatique voulant profiter des vulnérabilités et des mauvaises configurations présentes au sein de vos applications web.  Nos testeurs ont la capacité d’exécuter des scénarios malveillants très avancé sur les différentes technologies présentes au sein des applications web.

Dans le cadre des tests d’intrusion sur des applications web, nos testeurs se focalisent principalement les vulnérabilités listées par la nouvelle édition de l’OWASP TOP 10 2021 qui est le standard principalement utilisé pour identifier les vulnérabilités. Plus particulièrement les application web représentent toujours un domaine particulièrement vulnérable des systèmes informatiques du notamment à leur exposition publique et notamment au manque de sensibilisation sur la sécurité applicatif dans les processus de développement.

Les différentes étapes que nous exécutons  

A travers notre méthodologie, nos testeurs se focalisent principalement sur l’indentification des failles présentes sur la couche applicatives et la configuration de l’infrastructure hébergeant vos applications ou services web.

• Définition du scope : La première phase de notre méthodologie est une discussion de scope initiale pour définir les paramètres du projet. Cette étape essentielle permet aux testeurs d’en savoir plus sur les objectifs, des éléments à inclure, des conditions, ainsi que les spécificités du test d’intrusion
• Reconnaissance: La collecte d’informations est l’étape initiale de tout projet du test d’intrusion. Elle consiste à recueillir les données et renseignements relatifs à vos services web. La recherche de sous-domaine pourrait aussi faire partie du scope d’un test d’intrusion
• Énumération: Cette phase a pour objectif d’inventorier et de cartographier de façon précise l’ensemble des technologies utilisées par vos services web actifs et d’en connaitre la version exacte.
• Exploitation: La phase d’exploitation correspond à la mise en application concrète du travail effectué précédemment. Le pentester tentera une intrusion à travers touts type de faille : usurpation d’identité, élévations de privilèges, récupérations d’informations, consultations et modifications d’informations pertinentes, contournement des processus métiers, …
• Rapport: Pour la dernière phase, les clients reçoivent un résumé ainsi qu’un rapport plus détaillé. Le résumé répertorie les principales conclusions ainsi que les principales recommandations de mesures correctives. Un tableau est fourni avec le nombre total de vulnérabilités identifiées à chaque niveau de gravité pour une application ou un service web donnée. Le rapport d’évaluation complet va plus en détail pour chaque application ou service, les vulnérabilités identifiées et les conseils de correction.