Prestation de pentest applicatif
Table des matières
Quelles sont les phases d’un pentest applicatif ?
1. Evaluation d’une candidature
L’évaluation d’une candidature peut être divisée en 8 phases logiques décrites ci-dessous. L’équipe Solidity Cybersecurity effectuera l’évaluation de la sécurité des applications après ces phases et vous guidera à travers les différentes étapes nécessaires pour réaliser le pentest.
2. Définition de la portée du pentest

Au cours de cette phase, nous définirons et documenterons les objectifs, la portée et les règles d’engagement de l’évaluation.
Généralement, le champ d’application inclut les vulnérabilités de sécurité du Top 10 de l’OWASP :
- Exécution de code à distance
- Injection SQL
- Script inter-sites
- Contrefaçon de demande côté serveur
- Références d’objets indirectes
- Exposition de données sensibles
- Mauvaise configuration de la sécurité
- Entités externes XML (XXE)
- Clic-jacking
- Problèmes logiques
- Redirections et transferts non validés
- La collecte d’informations
Durant cette phase, le pentester va recueillir des informations sur votre cible.
Si vous avez besoin d’une évaluation blackbox, il recherchera des informations accessibles au public.
Si vous avez besoin d’une évaluation en boîte blanche, toutes les informations partagées avec le pentester seront utilisées et organisées en essayant de collecter autant de commentaires que possible afin qu’il puisse approfondir ses connaissances et, finalement, comprendre le système afin qu’il puisse approfondir la pénétration. essais.
3. Dénombrement
Le cas échéant, plusieurs énumérations peuvent aider le pentester à créer des charges utiles efficaces pour les attaques et à découvrir de nouveaux scénarios d’attaque. Certains des éléments suivants sont facultatifs pour une évaluation d’application légère.
Analyse complète des ports
Identification du système et du service
Prise d’empreinte du système d’exploitation
Énumération des utilisateurs
4. Identification des vulnérabilités
Configuration de la politique d’analyse
Identification des vulnérabilités associées à un hébergeur
5. Analyse et rapports
Analyse de l’impact business des risques identifiés
Rapports avec atténuation des recommandations
Génération de rapports
6. Exploits
Exécuter des exploits et accéder à l’hôte cible
Exécuter des attaques en escalade de privilèges pour obtenir un accès administrateur sur l’hôte cible
7. Recherche de vulnérabilités
Rechercher et exploiter des vulnérabilités identifiées
Identifier et cartographier les vulnérabilités d’exploitation trouvées sur l’hôte cible
8. Analyse des résultats
Vérification des résultats du scan
Tests de découverte manuels supplémentaires
Élimination faussement positive
Livrable
Pour chaque pentest, un rapport sera produit et remis à la fin de l’évaluation. Les vulnérabilités découvertes sont présentées lors de la réunion de lecture.
Pour en savoir plus, consulter la fiche service : Pentest