Test d'intrusion d'application Web

Si vous effectuez un pentesting d’application Web, l’objectif ultime sera de renforcer l’infrastructure et l’application contre les cyberattaques. De plus, vous pouvez avoir un objectif secondaire de fournir la preuve à un client ou à un partenaire que vous avez effectué un niveau approprié de diligence raisonnable en matière de cybersécurité en faisant effectuer un test d’intrusion sur l’application. Quelle que soit la raison, Cycuri fournira un rapport complet qui vous permettra de combler les failles de sécurité et de maintenir la confidentialité, l’intégrité et la disponibilité de vos actifs d’application Web critiques. Notre application de la cybersécurité est conçue pour maximiser la protection de votre système.

Quels sont les risques de sécurité des applications Web ?

Que votre application Web soit destinée aux employés, B2B ou B2C, il existe un niveau de confiance inhérent qui est supposé lorsque les utilisateurs sont autorisés à entrer, naviguer et utiliser des applications et/ou des portails d’applications. Les attaquants peuvent potentiellement utiliser de nombreux chemins différents à travers votre application pour nuire à votre entreprise ou organisation. Chacune de ces voies représente un risque qui peut, ou non, être suffisamment grave pour justifier une attention particulière.

Parfois, ces chemins sont triviaux à trouver et à exploiter, et parfois ils sont extrêmement difficiles. De même, le préjudice causé peut être sans conséquence ou vous mettre en faillite. Pour déterminer le risque pour votre organisation, vous pouvez évaluer la probabilité associée à chaque agent de menace, vecteur d’attaque et faiblesse de sécurité et la combiner avec une estimation de l’impact technique et commercial sur votre organisation. Ensemble, ces facteurs déterminent votre risque global.

L’approche de Cycuri :

Cycuri commence tous les tests de pénétration des applications Web en utilisant des méthodologies basées sur le Top 10 des risques de sécurité des applications Web les plus critiques de l’OWASP, le Guide de test OWASP v4, le TOP 25 des erreurs logicielles les plus dangereuses CWE/SANS et la norme d’exécution des tests de pénétration (PTES). Tous les tests effectués par Cycuri sont effectués manuellement par un humain. Nous ne faisons pas que « scanner et patcher » vos systèmes. Bien que nous soyons des hackers éthiques, lors des tests, nous utilisons des outils, des techniques et des procédures (TTP) qui sont identiques à ce que vous feriez face à un vrai hacker.

Chaque application Web est un défi différent et elles sont toutes abordées d’une manière unique en utilisant une combinaison d’outils industriels, d’outils personnalisés, de manipulation de saisie manuelle et de réflexion originale par notre équipe de test de classe mondiale. La description ci-dessous donne un aperçu générique de certains des domaines qui seront évalués par le testeur :

Énumération / Reconnaissance – Cet exercice est un précurseur du test de pénétration proprement dit et consiste à enquêter sur les serveurs et les applications Web sous-jacents pour détecter d’éventuelles vulnérabilités et faiblesses pouvant être exploitées. Plus précisément, nous recherchons des erreurs de configuration, des logiciels vulnérables, des informations d’identification faibles et des logiciels mal codés qu’un pirate pourrait utiliser pour infiltrer un serveur ou compromettre l’application.

Test d’exploitation – Dans cette phase de test à deux volets, Cycuri cherchera d’abord à exploiter toutes les faiblesses ou vulnérabilités identifiées dans les serveurs sous-jacents et l’application Web dans le but de les violer du point de vue de la boîte noire (c’est-à-dire sans informations d’identification ou connaissance des systèmes).

Nous utiliserons un mélange de techniques d’exploration automatisées et manuelles (en utilisant des identifiants de connexion, le cas échéant) pour tester l’application de manière beaucoup plus approfondie. À cette étape, nous vérifions si un utilisateur final malveillant opérant dans le portail peut ou non nuire à la fiabilité ou à l’intégrité du serveur, de l’application ou des données résidant dans les systèmes. C’est là qu’interviennent les guides OWASP, CWE/SANS et PTES. Les tests peuvent inclure des catégories de haut niveau telles que :

  • Injection (failles et attaques)
  • Authentification et gestion de session interrompues
  • Cross-Site Scripting (XSS)
  • Références d'objets directes non sécurisées Mauvaises configurations de sécurité
  • Exposition de données sensibles
  • Niveau de fonction manquant Contrôle d'accès
  • Cross-Site Request Forgery (CSRF)
  • Tests de vulnérabilité
  • Redirections et transferts non validés
  • Et plus encore...

Rapports et livrables :

Rapport détaillé du pentest

Preuve de concept d'exploitation

Test de remédiation ciblé

Related Service

Analyse de vulnérabilité

Cycuri propose des analyses de vulnérabilité ponctuelles ou régulières de votre périmètre externe, de vos applications Web ou de votre réseau interne.

Test d’intrusion Black-Box externe

Un test d’intrusion externe Black-Box imite les actions d’un adversaire réel en tentant d’exploiter les faiblesses de la sécurité du réseau sans les dangers d’une menace réelle.

Test d’intrusion post-brèche

Un test d’intrusion post-brèche (ou test d’intrusion interne ou test Red Team) part du principe qu’un membre de votre organisation a été compromis.