Test d'intrusion web
Du fait de sa nature offensive, le test d'intrusion met en évidence la surface d'attaque en simulant des attaques réelles.
Notre objectif est d'évaluer la résilience de votre site web via la mise en oeuvre de techniques avancées et la recherche de vulnérabilités contextuelles.
Anticipez, Identifiez, Protégez
Les sites web occupent une place centrale dans la dématérialisation de nombreuses démarches qui nécessitent très souvent l'échange d'informations personnelles. Dans ce contexte, afin de garantir la protection de vos utilisateurs et ainsi préserver leur confiance, il est nécessaire d'identifier et de corriger de manière proactive les vulnérabilités avant qu'elles ne soient exploitées par des individus malveillants.
Les différentes approches
Boite noire
Simuler les actions d'un attaquant externe n'ayant aucune connaissance de la structure ou du fonctionnement du système évalué.
Boite grise
Simuler le comportement d'un utilisateur malveillant possédant une connaissance partielle du système et capable de s'authentifier avec un compte légitime.
Boite blanche
Réaliser des tests approfondis en ayant une connaissance complète du système évalué (schémas, code source, documentations etc.)
Notre offre
Dans sa forme simple, le test d'intrusion permet d'identifier des vulnérablités courantes et répandues en s'appuyant sur des tests standardisés et des scénarios classiques.
Analyser les configurations SSL/TLS.
Détecter les services et ports ouverts.
Enumérer de manière approfondie les pages web et sous-domaines.
Identifier les versions logicielles obsolètes et leurs vulnérabilités associées.
Rechercher des configurations par défaut vulnérables.
Approche en boite noire/grise
Matérialiser la robustesse vis-à-vis des vulnérabilités les plus courantes (top 10 OWASP).
Effectuer des tentatives d'injections simples.
Eprouver les mécanismes d'authentification.
Se concentrer sur un périmètre restreint défini en collaboration avec vous.
Fournir un rapport technique complet comprenant des recommandations claires et actionnables pour résoudre les vulnérabilités identifiées.
Dans sa forme avancé, il s'appuie sur l'intégralité des phases du test d'intrusion simple tout en introduisant des contrôles plus approfondis et des scénarios avancés visant à détecter des vulnérabilités spécifiques à l'environnement et au contexte.
Effectuer des tentatives d'injections complexes.
Contourner les éventuelles protections mises en place (WAF etc.)
Analyser la configuration des politiques CORS et la robustesse des CSP.
Manipuler les requêtes forgées côté serveur pour accéder à des ressources internes.
Exécuter des commandes sur le serveur sous-jacent et/ou élever ses privilèges.
Lister toutes les fonctionnalités et analyser avec précision la surface d'attaque qui en découle.
Chainer plusieurs vulnérabilités pour compromettre l'environnement et/ou accéder à des données clients.
Identifier des faiblessess cryptographiques.
Fournir un rapport technique complet comprenant des recommandations claires et actionnables pour résoudre les vulnérabilités identifiées.
Pourquoi choisir Stackered ?
Bénéficiez de l'expertise de nos consultants, démontrant une connaissance approfondie des techniques d'attaque et des vulnérabilités.
Optez pour une tarification adaptée à la réalité budgétaire des TPE/PME.
Favorisez une collaboration transparente et active pour répondre précisément à vos besoins.
Bénéficiez de l'expertise de nos consultants, démontrant une connaissance approfondie des techniques d'attaque et des vulnérabilités.
Profitez d'une approche holistique comprenant des tests personnalisés et offrant une flexibilité adaptée aux technologies utilisées.
Favorisez une collaboration transparente et active pour répondre précisément à vos besoins.
Cette offre vous intéresse ?
Contactez-nous ou consultez nos autres offres