Tests d'intrusion d'applications web

Il peut s’agir de votre site vitrine, de votre site de e-commerce ou de toute autre application web : ils contribuent tous à l'exposition publique d’une partie de votre système d'information. Cela peut vous faire courir des risques en termes de sécurité informatique ou d'image de marque.

En opérant une prestation de tests d’intrusion sur ces plateformes, nous cherchons à comprendre leur fonctionnement et les mécanismes qui y sont intégrés afin d’en déceler les potentiels défauts, menant à des vulnérabilités.

Le test d’intrusion web s’effectue souvent en deux étapes voir trois étapes :

  • En boite noire : aucune information hormis l'URL d'accès
  • En boite grise : plusieurs comptes utilisateurs
  • Et parfois en boite blanche : compte administrateur, voire le code source

L’objectif de ce type d’audit d’audit est d’évaluer la robustesse de votre application web face aux menaces suivantes :

  • Vol d'informations sensibles ou confidentielles
  • Altération de données
  • Contournement de l'authentification
  • Attaque par rebond sur votre réseau interne
  • Élévation de privilège (déplacement latéral et horizontal)
  • Usurpation d'identité

En plus des menaces ci-dessous nous mettons en œuvre des scénarios d’attaques métiers.

Nous sommes en mesure d’auditer de la même manière les applications mobiles (android et iOS). En plus des objectifs déjà cités, nous effectuons une phase de reverse-engineering de l’application mobile quand cela est possible afin d’y déceler des secrets ou d'autres vulnérabilités.

Obtenez gratuitement un exemple
de rapport de pentest web ou mobile !

audit pentest web externe