Pentest Web - Audit de sécurité web

web_platform

Un pentest de plateforme web permet de tester la sécurité de la configuration serveur et de l’applicatif (applications web et APIs).

picto_cible

Téléchargez nos cas clients

L’objectif d’un pentest web

Les applications web représentent toujours un pan particulièrement vulnérable des systèmes d’information, en raison de leur niveau d’exposition aux attaques et du manque de sensibilisation des équipes de développement observé dans de nombreuses entreprises.

L’objectif d’un pentest web est d’évaluer la robustesse de votre plateforme web : serveurs, applications front/back offices, webservices et APIs.

Le résultat est un rapport de pentest complet permettant aux développeurs de comprendre, et de corriger les failles identifiées. Pour les éditeurs de solutions qui souhaitent fournir des livrables à leurs clients ou partenaires, Vaadata peut produire un deuxième rapport attestant de la correction des failles de sécurité.

Le scope d’un audit de sécurité web est à définir en fonction de l’objectif recherché :

  • Que faut-il inclure dans le pentest et que faut-il exclure du pentest ? (application web, APIs, services tiers, site vitrine, etc.)
  • Quel est le niveau de détail recherché : rechercher les vulnérabilités dites majeures ou rechercher l’ensemble des vulnérabilités ?
  • Quel est le niveau de risque à tester : tester uniquement les attaques externes (tests d’intrusion en boite noire) ou également les attaques à partir d’un compte utilisateur (tests d’intrusion en boite grise) ?
  • Faut-il incorporer certains types de tests spécifiques ? (ingénierie sociale...)

Nous contacter

Déroulement d’un audit de sécurité web

pentest application web

La première étape est la définition du scope du pentest. Cette étape essentielle permet de briefer les pentesters sur les objectifs de l’audit, les éléments à inclure dans le pentest, les conditions du pentest, ainsi que les demandes particulières du client.

La phase de préparation de l’audit permet ensuite de mettre en place les conditions techniques : choix des dates, mise en place de la cible, transmission d’informations et création de comptes de tests si nécessaire, validation du plan de communication en cas d’urgence.

Lors du démarrage de l’audit, l’équipe pentest se met en relation avec l’équipe technique responsable de la plateforme web à auditer. Dans la plupart des cas, les pentesters effectuent l’audit depuis les bureaux de Vaadata. La restitution des résultats a lieu uniquement lorsque l’audit est terminé, sauf demande spécifique du client (choix d’une option de reporting en temps réel).

Demander un devis

Pentest d’une application web

Vaadata recherche des failles liées aux fonctionnalités, à l’implémentation et l’utilisation de composants-tiers, au serveur et à ses différents services, aux configurations de sécurité, etc.

Les tests peuvent se concentrer uniquement sur les éléments techniques ou inclure également de l’ingénierie sociale.

Tests d’intrusion sur les serveurs web

Les tests d’intrusion sur les serveurs web se concentrent sur la recherche de vulnérabilités propres à la configuration de l’infrastructure hébergeant les services. Exemples de vulnérabilités courantes :

  • Services ouverts et mal sécurisés
  • Logiciels non à jour (système d’exploitation, FTP, ...)
  • Eléments de sécurité contournables
  • Erreurs de configuration

Tests d’intrusion sur la couche applicative

Les tests d’intrusion sur la couche applicative représentent la majeure partie de l’audit. Exemples de failles courantes :

  • Failles d’injection (notamment SQL et de commandes)
  • Vulnérabilités dans la gestion de l’authentification et des sessions
  • Exposition de données sensibles
  • Manque de contrôle sur les accès
  • Cross-Site Scripting (XSS) : du contenu dangereux peut être inséré sur un site

Le pentest applicatif comprend la recherche de failles techniques et de failles logiques (liées au workflow). Une faille logique existe lorsque le fonctionnement normal d’une application, soit une étape logique ou le processus prévu, peut être contourné ou évité.

tests intrusion serveur web

Notre livre blanc “Comment definir le scope d’un pentest” vous donne des clés pour définir le périmètre et une stratégie de pentest. Il regroupe les points clés issus de nos échanges avec environ 200 entreprises.

Les failles d’injection

Concernant les failles d’injection, l’injection SQL (SQLi) est la plus connue. Une faille d’injection SQL permet d’interagir avec la base de données de l’application, à partir de requêtes non-prévues.

Cependant, de nombreux types d’injection sont possibles : injections XPath, HTML, de commandes, de logs, etc. L’exploitation des failles d’injection peut conduire à des pertes de données, à un déni de service, voire à une prise de contrôle du système. L’impact de ces vulnérabilités peut donc être sévère.

En savoir plus sur les failles d’injection.

La faille Server Side Request Forgery – SSRF

Une SSRF est un type de vulnérabilité qui permet à un attaquant d'abuser les fonctionnalités d'un serveur. En utilisant cette faille, il peut ainsi accéder à des informations et les manipuler.

Cette capacité d'envoyer des requêtes à d'autres systèmes peut permettre à l'attaquant d'utiliser le serveur cible comme un proxy, afin d'attaquer des cibles extérieures ou des cibles internes, qui perdent ainsi la protection que leur apporte leur réseau.

En savoir plus sur la faille SSRF et son impact potentiel.

Zoom sur le déni de service (DoS)

Le pentest peut inclure ou non des attaques par déni de service (DoS), selon votre préférence. Ce type de tests permet d’identifier des vulnérabilités qui peuvent être liées à la configuration du serveur ou à l’application. Dans ces deux cas, les solutions dépendent de votre équipe technique, et non du choix de l’hébergement.

Vaadata exclut du pentest les attaques par déni de service distribué (DDoS), car le problème et la solution dépendent principalement d’une question de moyens du côté attaquant comme du côté attaqué.

web denial of service

Statistiques

Les malwares et les attaques web continuent d’être les types d’attaques les plus coûteuses.
2019 The Cost of Cybercrime. Ponemon Institute. (p. 17).

+56%

Les attaques web sur les endpoints ont augmenté de 56% en 2018.
2019 Internet Security Threat Report. Symantec. (p. 47)

+23%

Les vulnérabilités des API ont augmenté de 23% entre 2017 et 2018.
The State of Web Application Vulnerabilities in 2018. Imperva.

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Nous contacter