ETHICAL HACKING
Pentest infrastructure externe
OBJECTIFS DU PENTEST INFRASTRUCTURE EXTERNE
Nous respectons les étapes du PTES (pénétration testing exécution standard) pour mener nos tests d’intrusions externes. Reconnaissance, cartographie, exploitation de vulnérabilités potentielles, etc.
Reconnaissance :
Interrogation des moteurs de rechercheRéseaux sociaux (LinkedIn, Facebook…)Informations techniques publiques (whois, DNS…)Analyse de métadonnées de fichiers disponibles (images, PDF…)Etc.Elle se poursuit avec une phase active, elle aussi non intrusive, se traduisant par une utilisation “normale” des ressources disponibles :
Sites web ou « web services »
Serveurs de messagerie
Serveurs DNS de l’entreprise
Plateforme d’échange de données
L’auditeur tentera d’exploiter certaines d’entre elles afin de compromettre un équipement ou un service. Diverses vulnérabilités peuvent être utilisées lors de cette phase :
Mots de passe faibles
OS ou services non à jour
Vulnérabilités applicatives
Si l’exploitation de certaines failles présente des risques, une validation par le commanditaire sera effectuée avant de lancer l’attaque. Aucun test de type « déni de service » ne sera effectué par l’auditeur.
Si des vulnérabilités sont identifiées, l’auditeur tentera d’exploiter certaines d’entre elles afin de compromettre un équipement ou un service.
Mots de passe faibles
OS ou services non à jour
Vulnérabilités applicatives