Comprendre la vulnérabilité web Server-Side Request Forgery (1/2)

Nous pensons souvent qu’un pare-feu suffisamment restrictif protège l’accès aux services non ouverts. Nous croyons aussi que seule une machine compromise peut donner accès au reste du réseau interne.

Et bien nous avons tort, et c’est ce que nous allons voir avec une vulnérabilité des applications web : le Server-Side Request Forgery (SSRF).

 

Qu’est-ce que les SSRF ?

A partir d’une application web vulnérable, les SSRF permettent d’interagir avec le serveur, afin d’en extraire des fichiers et de trouver ses autres services actifs. Mais cela ne s’arrête pas là. Il est également possible de scanner le réseau interne afin d’en cartographier les IP et Ports ouverts.

 

Lire la suite

7 questions à se poser avant de faire un test d’intrusion

La sécurité, c’est primordial, et vous êtes d’accord avec ça. D’ailleurs, vous voulez faire un Pentest - code, failles, corrections, langages, serveurs, développement...test d’intrusion (ou pentest) sur votre solution d’ici peu… Voici 7 questions pour vous aider à obtenir le meilleur d’un test d’intrusion.

 

1 – Il vaut mieux tester la production ou la pré-production ?

Mener un test d’intrusion sur l’environnement de production a un avantage certain : être effectué dans les conditions réelles d’utilisation de votre site/application web/API/…  avec les dernières évolutions mises en place.

Lire la suite

Audit de reconnaissance – Quelles informations sur votre entreprise peuvent être trouvées sur internet ?

« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.

Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.

Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles.

Lire la suite

Statistiques 2017 sur les attaques web, mobile, fuite de données…

Statistiques

 

 

Les cyberattaques ont régulièrement fait les titres des médias en 2017. Cela continue en 2018, des Jeux olympiques aux attaques record DDoS (pour ceux qui ont raté l’information : attaque memcached, en anglais). L’impression diffuse est qu’il y a de plus en plus de cyberattaques, et de plus en plus importantes. Mais concrètement, quelle est la situation actuelle ?

Nous avons regroupé des statistiques intéressantes de 2017 liées à la cybersécurité, en nous concentrant sur les données liées à notre spécialité : les tests d’intrusions sur les plateformes web, les applications mobiles et les objets connectés.

 

En un coup d’œil

Deux points majeurs sont à souligner :

  • 77 % des organisations dans le monde ont été victimes d’une (ou plus) cyberattaque réussie durant l’année 2017. (1)
  • En moyenne, les attaques sont détectées après plus de 6 mois (191 jours !) et corrigées en plus de deux mois (66 jours). (2)

Lire la suite