Liste des livrables attendus
Compte-rendu d'audit de sécurité
Conférence téléphonique de débriefing
Avec les accès d'un simple utilisateur, dans des conditions réelles d'attaques. La cible fait l'objet de plusieurs tests portant aussi bien sur la partie système que la partie applicative. Ces tests "blackbox" se déroulent en plusieurs étapes :
Ces tests visent une étude approfondie de l'application, de son fonctionnement, de son code et de son backoffice.
Ils nécessitent des accès à l'administration du site et au code source. L'étude permet d'approfondir le niveau de détection sur certaines attaques comme l'escalade de privilège et ceci s'avère particulièrement utile quand plusieurs types d'utilisateurs avec des droits différents accèdent à l'administration. Ces tests permettent de relever d'éventuelles mauvaises pratiques dans le code et des vulnérabilités en backoffice.
Compte-rendu d'audit de sécurité
Conférence téléphonique de débriefing