Pentest web & application mobile
Un pentest WEB tout comme une attaque réelle, se déroule sur plusieurs périmètres : serveurs, applications web et APIs.
Objectifs du pentest web
Nous recherchons les vulnérabilités propres à la configuration de l’infrastructure hébergeant les services des serveurs web comme par exemple :
- Recherche de services ouverts-non sécurisés
- Recherche de logiciels dépréciés (système d’exploitation, FTP...)
- Contournement d’éléments de sécurité
- Erreurs de configuration
- Vérification de la configuration TLS
Le pentest sur la couche applicative comprend la recherche de failles techniques et de failles logiques.
Exemples de types de tests côté applicatif :
- Injections (notamment de commandes et SQL)
- Vulnérabilités dans la gestion de l’authentification et des sessions
- Exposition de données sensibles
- Manque de contrôle sur les accès
- Problèmes de configuration (serveur, Framework, librairies)
Un pentest d’application mobile teste l’application mais également les APIs et les serveurs les hébergeant. Un pentest de l’application mobile se concentre sur deux types d’analyses l’une cryptographique et l’autre reverse engineering. L’audit de sécurité d’une application mobile comprend l’étude de la logique de l’application, une analyse technique, et l’analyse d’éléments ayant pu être extraits.
Les failles habituelles sur les applications mobiles sont liées à :
- Des données mal stockées
- Des communications réseau mal sécurisées
- Des interactions avec la plateforme mal-configurées
- De la configuration non-sécurisée (signature, debug...)
- Injections (notamment de commandes et SQL)
- Vulnérabilités dans la gestion de l’authentification et des sessions
- Exposition de données sensibles
- Manque de contrôle sur les accès
- Problèmes de configuration (serveur, Framework, librairies)
Sécuriser l’API représente une étape incontournable pour la sécurisation d’une solution mobile. Un test d’intrusion d’API ressemble à un test d’intrusion d’application web dans les types de failles recherchées.
Les failles habituelles sur les APIs sont principalement liées à :
- Des fonctionnalités qui peuvent être contournées
- Des problèmes de droits
- L’implémentation et l’utilisation de composants-tiers
PENTEST : Nos références
Nos clients restent confidentiels à l’extérieur de la communauté...
Découvrez tout de même nos réalisations à travers des études de cas réelles.
- Les principaux enjeux de cette entreprise sont de vérifier deux points fondamentaux : possibilités pour un cybercriminel d’usurper l’identité d’un de ces fournisseurs, vérifier le niveau de sécurité [...]
- L’enjeu principal de cette entreprise est de vérifier les possibilités d’un cybercriminel à attaquer le site web marchand de l’entreprise. Ils ont besoin de connaitre leurs vulnérabilités et leurs failles [...]
- L’enjeu principal de cette entreprise est de vérifier les possibilités d’un cybercriminel ou d’un salarié malveillant à évoluer dans son réseau interne. Ils ont besoin de connaitre leurs vulnérabilités [...]
