Les tests d’intrusion web sont une combinaison de plusieurs tests et vérifications effectués pour trouver des vulnérabilités dans vos ressources Web pour les faiblesses existantes ou potentielles que les pirates peuvent exploiter. La portée des audits couvre le logiciel de base du site Web aux extensions, les thèmes, les paramètres du serveur, la connexion TLS et toutes les pages qui fournissent des informations de connexion.
Grâce à une expérience de plusieurs années dans le secteur de la cybersécurité, notre entreprise dispose d’un savoir-faire éprouvé dans les tests d’intrusion web et applicatif. Nous avons pour objectif de vous aider à évaluer et améliorer le niveau de sécurité de votre système d'information. La société a été fondée par deux experts en sécurité informatique spécialisés dans l’audit de sécurité orienté Red Team. Nous sommes convaincus qu’un audit de qualité doit être accompagné d’un rapport complet et contextualisé contenant les vulnérabilités, les risques liés à l'application ainsi que des recommandations permettant de corriger les problèmes de sécurité identifiés.
Nous sommes convaincus que toute entreprise ayant une activité sur internet doit voir la cybersécurité comme un élément crucial pour son activité et pour sa réputation. En effet, face à une recrudescence des attaques informatiques, chaque entreprise se verra attaquée afin d’en dérober a minima les données clients dont la valeur est une mine d’or pour les cybercriminels. Partant de ce postulat, nous proposons de simuler une cyberattaque avec un test d'intrusion (pentest), afin d'identifier les vulnérabilités, risques et menaces potentiels sur le système d'information de votre entreprise.
Il s'agit d'un processus d'évaluation de la sécurité d'un système Web en simulant des attaques et en examinant le code de l'application Web, le processus implique une analyse active de l'application pour tout défaut technique ou vulnérabilité. Les applications Web sont souvent vulnérables en raison d’erreurs de configuration ou d'erreurs de programmation logique. L'exercice d'audit de la sécurité du Web est basé sur des normes industrielles telles que l'Open Web Application Security Project (OWASP).
L'exercice d'audit de la sécurité du Web comporte deux phases de test :
Un exercice d'audit de sécurité Web aidera tout système Web à :
Nos tests d'intrusion sont découpés en plusieurs phases. Pour chaque phase, la même méthodologie est appliquée :
Les tests d’intrusion externes sur l’application web exposée sur internet sont effectués de deux manières :
Nous effectuons, en premier lieu, une recherche en source ouverte (OSINT). Une cartographie réseau de l’application cible est créée dans le but d'identifier des services exposés (ports ouverts, version des services…)
Un scan des versions des bibliothèques et services pour détecter des vulnérabilités est effectué. Le site est analysé afin de détecter des fonctionnalités inutiles telles que la possibilité d'avoir recours à un parcours de répertoires et des méthodes de débogage.
Les algorithmes et protocoles de chiffrement proposés par le serveur sont analysés dans le but de vérifier qu'aucune suite de chiffrement ou algorithme obsolète ne puisse mettre en péril la confidentialité des données.
Les méthodes d'authentification et la robustesse de ces dernières sont analysées (comptes par défaut, mots de passe faibles, etc.). Cette phase permet de détecter toute vulnérabilité qui permettrait à un attaquant d'accéder à l'application sans compte utilisateur.
Le cloisonnement de l'application est testé afin de s'assurer qu'il ne soit pas possible d'escalader ses privilèges de manière horizontale ou verticale.
Enfin, différents types d'injection sont testés, Cross-Site Scripting (XSS), SQL injection, etc.
Les tests comprennent entre autres les vérifications suivantes :
Nous effectuons tout d'abord une réunion de démarrage avec le client afin de prendre en compte toute demande particulière. Le cadrage des modalités liées aux tests (dates, horaires, etc.) est à l'ordre du jour dans cette réunion. A l'issue de cette réunion, la rédaction d’un protocole de tests est enclenchée.
Une fois le protocole de test signé par les deux parties, la réalisation du test d'intrusion en boîte noire et boîte grise peut commencer. Ce type de pentest s'étale sur plusieurs jours ou semaines selon ce qui a été convenu avec le client.
Un rapport d'audit complet est alors créé, afin de présenter :
Les résultats du pentest web sont présentés lors d’une réunion de restitution. L'analyse de risque est présentée de manière macro afin de s'adapter aux RSSI. Une présentation des scénarios d’attaque imaginés en fonction des vulnérabilités trouvées est également présentée. Enfin, le plan d’action de manière synthétique est exposé afin de donner une feuille de route à mettre en place pour l'équipe sécurité.
Nous sommes des pentester passionnés, nous avons participé aux plus grandes conférences de hacking françaises : GreHack, LeHack, SecSea Nous sommes des pentester éthiques : nous participons, sur notre temps libre, à de nombreux challenges CTF et programmes de Bug Bounty Nos prix sont compétitifs car nous sommes spécialisés dans le pentest web. Nous sommes proches et à l'écoute du client. Nous nous engageons à fournir un rapport de qualité. Nous avons plus de 100 missions à notre actif, effectuées pour plus de 50 clients dans tous types de secteurs. Ces missions sont majoritairement des audits Web, des audits d’application Android, des audits SI d’entreprise ainsi que des audits Red Team
Vous pouvez nous contacter via le formulaire suivant ou directement par mail.