SSHack Pentest web & audit de sécurité web

Ce que nous proposons au travers de nos audits

Plusieurs tests techniques

Les tests d’intrusion web sont une combinaison de plusieurs tests et vérifications effectués pour trouver des vulnérabilités dans vos ressources Web pour les faiblesses existantes ou potentielles que les pirates peuvent exploiter. La portée des audits couvre le logiciel de base du site Web aux extensions, les thèmes, les paramètres du serveur, la connexion TLS et toutes les pages qui fournissent des informations de connexion.

Un savoir faire éprouvé dans le domaine du web

Grâce à une expérience de plusieurs années dans le secteur de la cybersécurité, notre entreprise dispose d’un savoir-faire éprouvé dans les tests d’intrusion web et applicatif. Nous avons pour objectif de vous aider à évaluer et améliorer le niveau de sécurité de votre système d'information. La société a été fondée par deux experts en sécurité informatique spécialisés dans l’audit de sécurité orienté Red Team. Nous sommes convaincus qu’un audit de qualité doit être accompagné d’un rapport complet et contextualisé contenant les vulnérabilités, les risques liés à l'application ainsi que des recommandations permettant de corriger les problèmes de sécurité identifiés.

Nous sommes convaincus que toute entreprise ayant une activité sur internet doit voir la cybersécurité comme un élément crucial pour son activité et pour sa réputation. En effet, face à une recrudescence des attaques informatiques, chaque entreprise se verra attaquée afin d’en dérober a minima les données clients dont la valeur est une mine d’or pour les cybercriminels. Partant de ce postulat, nous proposons de simuler une cyberattaque avec un test d'intrusion (pentest), afin d'identifier les vulnérabilités, risques et menaces potentiels sur le système d'information de votre entreprise.

Un audit web en plusieurs phases

Il s'agit d'un processus d'évaluation de la sécurité d'un système Web en simulant des attaques et en examinant le code de l'application Web, le processus implique une analyse active de l'application pour tout défaut technique ou vulnérabilité. Les applications Web sont souvent vulnérables en raison d’erreurs de configuration ou d'erreurs de programmation logique. L'exercice d'audit de la sécurité du Web est basé sur des normes industrielles telles que l'Open Web Application Security Project (OWASP).

L'exercice d'audit de la sécurité du Web comporte deux phases de test :

Au cours de la première phase, les lacunes de sécurité ont été identifiées dans le système et un ensemble de contre-mesures a été recommandé pour combler ces lacunes.
Au cours de la deuxième phase, nous vérifions de nouveau le système et obtenons la confirmation de la suppression des lacunes.

Un exercice d'audit de sécurité Web aidera tout système Web à :

Identifier les vulnérabilités et les contre-mesures correspondantes
Atténuer le risque de sécurité
Fournir une assurance aux partenaires et à l'utilisateur
Identifier les lacunes de sécurité

Notre approche

Nos tests d'intrusion sont découpés en plusieurs phases. Pour chaque phase, la même méthodologie est appliquée :

La découverte du périmètre
La recherche de vulnérabilités
L'exploitation des vulnérabilités puis l'intrusion

Les tests d’intrusion externes sur l’application web exposée sur internet sont effectués de deux manières :

Boîte noire : Audit de l’application sans accès utilisateur / administrateur, ce type de test est le plus réaliste car il simule une attaque externe
Boîte grise : Audit de l’application avec accès utilisateur / administrateur

Nos points de contrôle

Cartographie de la cible

Nous effectuons, en premier lieu, une recherche en source ouverte (OSINT). Une cartographie réseau de l’application cible est créée dans le but d'identifier des services exposés (ports ouverts, version des services…)

Un scan des versions des bibliothèques et services pour détecter des vulnérabilités est effectué. Le site est analysé afin de détecter des fonctionnalités inutiles telles que la possibilité d'avoir recours à un parcours de répertoires et des méthodes de débogage.

Les algorithmes et protocoles de chiffrement proposés par le serveur sont analysés dans le but de vérifier qu'aucune suite de chiffrement ou algorithme obsolète ne puisse mettre en péril la confidentialité des données.

Les méthodes d'authentification et la robustesse de ces dernières sont analysées (comptes par défaut, mots de passe faibles, etc.). Cette phase permet de détecter toute vulnérabilité qui permettrait à un attaquant d'accéder à l'application sans compte utilisateur.

Le cloisonnement de l'application est testé afin de s'assurer qu'il ne soit pas possible d'escalader ses privilèges de manière horizontale ou verticale.

Enfin, différents types d'injection sont testés, Cross-Site Scripting (XSS), SQL injection, etc.

Les tests comprennent entre autres les vérifications suivantes :

Tests de gestion de la configuration
Test d'authentification
Test d'autorisation
Test de gestion de session
Test de validation des données
Test de déni de service
Test des services Web
Contrôle de la validation des entrées
Fuite d'informations et traitement incorrect des erreurs
Contrôle de la référence directe à un objet
Contrôle de l'utilisation des ressources
Utilisation de l'API
Application des meilleures pratiques
Faible gestion des sessions
Utilisation de chaînes de requête HTTP GET
Test de logique applicative

Déroulement d'un audit

Première étape :

Nous effectuons tout d'abord une réunion de démarrage avec le client afin de prendre en compte toute demande particulière. Le cadrage des modalités liées aux tests (dates, horaires, etc.) est à l'ordre du jour dans cette réunion. A l'issue de cette réunion, la rédaction d’un protocole de tests est enclenchée.

Deuxième étape :

Une fois le protocole de test signé par les deux parties, la réalisation du test d'intrusion en boîte noire et boîte grise peut commencer. Ce type de pentest s'étale sur plusieurs jours ou semaines selon ce qui a été convenu avec le client.

Troisième étape :

Un rapport d'audit complet est alors créé, afin de présenter :

Une synthèse managériale des points forts et grands axes d’amélioration,
Une analyse de risques avec une contextualisation des menaces, leur impact et leur probabilité,
Un plan d’action (à court terme afin d'augmenter rapidement le niveau de sécurité et à moyen / long terme afin d'établir les recommandations sur les chantiers les plus importants),
Les détails des tests techniques

Quatrième étape :

Les résultats du pentest web sont présentés lors d’une réunion de restitution. L'analyse de risque est présentée de manière macro afin de s'adapter aux RSSI. Une présentation des scénarios d’attaque imaginés en fonction des vulnérabilités trouvées est également présentée. Enfin, le plan d’action de manière synthétique est exposé afin de donner une feuille de route à mettre en place pour l'équipe sécurité.

Pourquoi nous ?

Nous sommes des pentester passionnés, nous avons participé aux plus grandes conférences de hacking françaises : GreHack, LeHack, SecSea Nous sommes des pentester éthiques : nous participons, sur notre temps libre, à de nombreux challenges CTF et programmes de Bug Bounty Nos prix sont compétitifs car nous sommes spécialisés dans le pentest web. Nous sommes proches et à l'écoute du client. Nous nous engageons à fournir un rapport de qualité. Nous avons plus de 100 missions à notre actif, effectuées pour plus de 50 clients dans tous types de secteurs. Ces missions sont majoritairement des audits Web, des audits d’application Android, des audits SI d’entreprise ainsi que des audits Red Team