Accueil » Qu’est-ce qu’un Pentest de sécurité

Qu’est-ce qu’un Pentest de sécurité

Prestation de pentest applicatif

Table des matières

Quelles sont les phases d’un pentest applicatif ?

1. Evaluation d’une candidature

L’évaluation d’une candidature peut être divisée en 8 phases logiques décrites ci-dessous. L’équipe Solidity Cybersecurity effectuera l’évaluation de la sécurité des applications après ces phases et vous guidera à travers les différentes étapes nécessaires pour réaliser le pentest.

2. Définition de la portée du pentest

Au cours de cette phase, nous définirons et documenterons les objectifs, la portée et les règles d’engagement de l’évaluation.

Généralement, le champ d’application inclut les vulnérabilités de sécurité du Top 10 de l’OWASP :

  1. Exécution de code à distance
  2. Injection SQL
  3. Script inter-sites
  4. Contrefaçon de demande côté serveur
  5. Références d’objets indirectes
  6. Exposition de données sensibles
  7. Mauvaise configuration de la sécurité
  8. Entités externes XML (XXE)
  9. Clic-jacking
  10. Problèmes logiques
  11. Redirections et transferts non validés
  12. La collecte d’informations

Durant cette phase, le pentester va recueillir des informations sur votre cible.

Si vous avez besoin d’une évaluation blackbox, il recherchera des informations accessibles au public.

Si vous avez besoin d’une évaluation en boîte blanche, toutes les informations partagées avec le pentester seront utilisées et organisées en essayant de collecter autant de commentaires que possible afin qu’il puisse approfondir ses connaissances et, finalement, comprendre le système afin qu’il puisse approfondir la pénétration. essais.

3. Dénombrement

Le cas échéant, plusieurs énumérations peuvent aider le pentester à créer des charges utiles efficaces pour les attaques et à découvrir de nouveaux scénarios d’attaque. Certains des éléments suivants sont facultatifs pour une évaluation d’application légère.

Analyse complète des ports

Identification du système et du service

Prise d’empreinte du système d’exploitation

Énumération des utilisateurs

4. Identification des vulnérabilités

Configuration de la politique d’analyse

Identification des vulnérabilités associées à un hébergeur

5. Analyse et rapports

Analyse de l’impact business des risques identifiés

Rapports avec atténuation des recommandations

Génération de rapports

6. Exploits

Exécuter des exploits et accéder à l’hôte cible

Exécuter des attaques en escalade de privilèges pour obtenir un accès administrateur sur l’hôte cible

7. Recherche de vulnérabilités

Rechercher et exploiter des vulnérabilités identifiées

Identifier et cartographier les vulnérabilités d’exploitation trouvées sur l’hôte cible

8. Analyse des résultats

Vérification des résultats du scan

Tests de découverte manuels supplémentaires

Élimination faussement positive

Livrable

Pour chaque pentest, un rapport sera produit et remis à la fin de l’évaluation. Les vulnérabilités découvertes sont présentées lors de la réunion de lecture.

Pour en savoir plus, consulter la fiche service : Pentest

× Comment puis-je vous aider ?
Processing...
Thank you! Your subscription has been confirmed. You'll hear from us soon.
Newsletter Solidity
Subscribe here / Inscrivez-vous
ErrorHere