Le test d’intrusion applicatif

Le test d’intrusion applicatif est le test idéal si vous souhaitez évaluer la qualité du développement de votre site Internet.  Le consultant se place dans la peau d’un pirate et analyse l’intégralité de l’application en aveugle. Il utilise pour ce faire l’intégralité des failles connues et documentés en matière d’audit web auxquelles il ajoute ses propres découvertes.

Dans le cadre d’audits applicatifs web, nous testons tout d’abord les failles web les plus largement exploitées (top 10 vulnerabilites – 2010)

  • Injections (SQL Injection, Blind SQL Injections)
  • XSS (cross-site scripting)
  • Mauvaise authentification et étanchéité des sessions
  • Absence de contrôle de session ou de variable (LFI)
  • CSRF (Cross site Request forgery)
  • Mauvaise configuration de la sécurité
  • Mauvaise gestion des URLs protégées
  • Redirections invalides
  • Mauvais stockage cryptographique
  • Mauvaise protection des transferts des données

S’ajoutent à cela:

  • La collecte d’information applicative et métiers
    • Path disclosure
    • Découverte des versions logiciels
    • Découverte des versions CRM / CMS / ERP
  • Les failles découvertes au jour le jour par les chercheurs internationaux en sécurité informatique que nous mettons quotidiennement à jour grâce à notre activité de veille.
  • Les failles découvertes par notre équipe recherche qui sont connues et exploitables uniquement par Wargan Solutions
  • La réalisation de POC (proof of concept) pour les failles découvertes lors de l’audit
  • Un méthode interne précise d’optimisation de la découverte de failles basée sur un scanner développé par Wargan Solutions qui permet de recenser le maximum de pages disponible.
  • La rédaction d’un rapport précis contenant les failles, leur criticité, les méthodes d’enrayement, et autres. Consulter notre partie méthodologie.

Il est important de noter que contrairement à d’autre société nous ne nous cantonnons pas à exécuter un scanner de vulnérabilités. Nous réalisons l’audit à la main, testons chacune des possibilités et exécutons à la fin un scanner (développé par Wargan Solutions) afin de nous assurer que nous n’avons rien oublié. Ainsi les deux axes d’investigation sont réalisés.

securite informatif test applicatif

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
«
»