Pentest Web – Audit de sécurité web

web_platform

Un pentest de plateforme web permet de tester la sécurité de la configuration serveur et de l’applicatif (applications web et APIs).

picto_cible

L’objectif d’un pentest web

Les applications web représentent toujours un pan particulièrement vulnérable des systèmes d’information, de par leur niveau d’exposition aux attaques et de par le manque de sensibilisation des équipes de développement constaté dans de nombreuses entreprises.

L’objectif d’un pentest web est d’évaluer la robustesse de votre plateforme web : serveurs, applications front/back offices, webservices et APIs. Le résultat est un rapport opérationnel permettant aux développeurs de corriger les failles identifiées. Pour les éditeurs de solutions ayant besoin de livrables à fournir à leurs clients, Vaadata peut fournir un deuxième rapport attestant de la correction des failles de sécurité.

Le scope d’un audit de sécurité web est à définir en fonction de l’objectif recherché :

  • Que faut-il inclure dans le pentest et que faut-il exclure du pentest ? (application web, APIs, services tiers, site vitrine …)
  • Quel est le niveau de détail recherché : rechercher les vulnérabilités dites majeures ou rechercher l’ensemble des vulnérabilités ?
  • Quel est le niveau de risque à tester : tester uniquement les attaques externes (boite noire) ou également les attaques à partir d’un compte utilisateur (boite grise) ?
  • Faut-il incorporer certains types de tests spécifiques ? (ingénierie sociale...)

Nous contacter

Déroulement d’un audit de sécurité web

La première étape est la définition du scope du pentest. Cette étape essentielle permet de briefer les pentesters sur les objectifs de l’audit, les éléments à inclure dans le pentest, les conditions du pentest, ainsi que les demandes particulières du client.

La phase de préparation de l’audit permet ensuite de mettre en place les conditions techniques : choix des dates, mise en place de la cible, transmission d’information et création de comptes de tests si nécessaire, validation du plan de communication en cas d’urgence.

Lors du démarrage de l’audit, l’équipe pentest se met en relation avec l’équipe technique responsable de la plateforme web à auditer. Dans la plupart des cas, les pentesters effectuent l’audit depuis les bureaux de Vaadata. La restitution des résultats a lieu uniquement lorsque l’audit est terminé, sauf demande spécifique du client (choix d’une option de reporting en temps réel).

Demander un devis

Pentester une application web

Vaadata recherche des failles liées aux fonctionnalités, à l’implémentation et l’utilisation de composants-tiers, au serveur et à ses différents services, aux configurations de sécurité, etc.

Les tests peuvent se concentrer uniquement sur les éléments techniques ou bien inclure également de l’ingénierie sociale.

Tester les serveurs web

Les tests d’intrusion sur les serveurs web se concentrent sur la recherche de vulnérabilités propres à la configuration de l’infrastructure hébergeant les services. Les vulnérabilités les plus typiques sont :

  • Des services ouverts et mal sécurisés ;
  • Des logiciels non à jour (système d’exploitation, FTP, ...) ;
  • Des éléments de sécurité contournables ;
  • Des erreurs de configuration ;
hp_consulting_security

Tester la couche applicative

Les tests d’intrusion sur la couche applicative représentent la majeure partie de l’audit.

Les failles les plus classiques sont :

  • Failles d’injection (notamment SQL et de commandes) ;
  • Vulnérabilités dans la gestion de l’authentification et des sessions ;
  • Exposition de données sensibles ;
  • Manque de contrôle sur les accès ;
  • Cross-Site Scripting (XSS) : du contenu dangereux peut être inséré sur un site.
  • Etc.

Le pentest applicatif comprend la recherche de failles technique et de failles logiques (liées au workflow). Une faille logique existe lorsque le fonctionnement normal d’une application, soit une étape logique ou le processus prévu, peut être contourné ou évité. En savoir plus

Les failles d’injection

Concernant les failles d’injection, l’injection SQL (SQLi) est la plus connue. Une faille d’injection SQL permet d’interagir avec la base de données de l’application, à partir de requêtes non-prévues.

Cependant, de nombreux types d’injection sont possibles : injections XPath, HTML, de commandes, de logs, etc. L’exploitation des failles d’injection peut conduire à des pertes de données, à un déni de service, voire à une prise de contrôle du système. L’impact de ces vulnérabilités peut donc être sévère.

En savoir plus

La faille Server Side Request Forgery - SSRF

Une SSRF est un type de vulnérabilité qui permet à un attaquant d'abuser les fonctionnalités d'un serveur, qui peut ainsi accéder ou manipuler des informations auxquelles il n'aurait pas pu accéder directement.

Cette capacité d'envoyer des requêtes à d'autres systèmes peut permettre à l'attaquant d'utiliser le serveur cible comme un proxy, afin d'attaquer des cibles extérieures ou même des cibles internes, qui perdent ainsi la protection que leur apporte leur réseau.

Nous développons d’avantage ce qu’est une faille SSRF et son impact potentiel ici.

Zoom sur le déni de service (DoS)

Le pentest peut inclure ou non des attaques par déni de service (DoS), selon votre préférence.
Quel est l’intérêt de ce type de tests ? Il permet d’identifier des vulnérabilités qui peuvent être liées à la configuration du serveur ou à l’application elle-même. Dans ces deux cas, les solutions dépendent bien de votre équipe technique, et non pas du choix de l’hébergement.

Vaadata exclue du pentest les attaques par déni de service distribué (DDoS), car le problème et la solution dépendent principalement d’une question de moyens du côté attaquant comme du côté attaqué.

web denial of service

Statistiques

Les malwares et les attaques web continuent d’être les types d’attaques les plus coûteuses.
2019 The Cost of Cybercrime. Ponemon Institute. (p. 17).

+56%

Les attaques web sur les endpoints ont augmenté de 56% en 2018.
2019 Internet Security Threat Report. Symantec. (p. 47)

+23%

Les vulnérabilités des API ont augmenté de 23% entre 2017 et 2018.
The State of Web Application Vulnerabilities in 2018. Imperva.

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Nous contacter