ETHICAL HACKING
Pentest web et application mobile
OBJECTIFS DU PENTEST WEB
Nous recherchons les vulnérabilités propres à la configuration de l’infrastructure hébergeant les services des serveurs web comme par exemple :
Recherche et identification de failles pouvant impacter la sécurité du système et l’intégrité des données.Exploiter chaque faille identitée afin de simuler des intrusions réelles et challenger l’ensemble des contrôles d’accès mis en place sur le périmètre.Élever ses privilèges afin d’obtenir l’accès le plus élevé sur le temps imparti (passage d’un compte standard à un compte administrateur, accès système, etc.).Détailler étapes par étapes l’exploitation menée par nos pentesters.Apporter des conseils techniques afin de corriger chacune des failles de sécurité remontée durant l’audit.Le pentest sur la couche applicative comprend la recherche de failles techniques et de failles logiques.
Exemples de types de tests côté applicatif :
Injections (notamment de commandes et SQL)
Vulnérabilités dans la gestion de l’authentification et des sessions
Exposition de données sensibles
Manque de contrôle sur les accès
Problèmes de configuration (serveur, Framework, librairies)
Un pentest d’application mobile teste l’application mais également les APIs et les serveurs les hébergeant.
Les failles habituelles sur les applications mobiles sont liées à :
Les failles habituelles sur les applications mobiles sont liées à :
Des communications réseau mal sécurisées
Des interactions avec la plateforme mal-configurées
De la configuration non-sécurisée (signature, debug…)
Injections (notamment de commandes et SQL)
Exposition de données sensibles
Manque de contrôle sur les accès
Problèmes de configuration (serveur, Framework, librairies)
Sécuriser l’API représente une étape incontournable pour la sécurisation d’une solution mobile.
Des fonctionnalités qui peuvent être contournées
Des fonctionnalités qui peuvent être contournées
L’implémentation et l’utilisation de composants-tiers
Des problèmes de droits