Audit Sécurité

Audit Sécurité

By Bearstech

PME Grands Comptes PurePlayers Boutique ecommerce
Nos prestations d'audit de sécurité ont pour vocation de renforcer la sécurité applicative et système de votre dispositif web

Blackbox :

Avec les accès d'un simple utilisateur, dans des conditions réelles d'attaques. La cible fait l'objet de plusieurs tests portant aussi bien sur la partie système que la partie applicative. Ces tests "blackbox" se déroulent en plusieurs étapes :

  • Phase 1 : prise d'empreintes, détection des services, identification des versions des applications
  • Phase 2 : détection de vulnérabilités
  • Phase 3 : évaluation des risques et d'exploitation
  • Les tests portent sur diverses techniques d'intrusion :
    • Fuites d'informations ;
    • Configuration du serveur ;
    • Injection base données (type SQLi) et injection de code (XSS)

Whithebox :

Ces tests visent une étude approfondie de l'application, de son fonctionnement, de son code et de son backoffice.

Ils nécessitent des accès à l'administration du site et au code source. Elle permet d'approfondir le niveau de détection sur certaines attaques comme l'escalade de privilège et ceci s'avère particulièrement utile quand plusieurs types d'utilisateurs, avec des droits différents accèdent à l'administration. Ces tests permettent de relever d'éventuelles mauvaises pratiques dans le code et des vulnérabilités en backoffice.

Modalité de mise en oeuvre

  • Les tests réalisés sont l'objet de procédures automatisées et de procédures manuelles incluant les techniques suivantes : ports scanning, fuzzing d'url, brute forcing, exploitation, escalade de privilèges, dénis de service, injections...
  • Conférence téléphonique de briefing initiale
  • Intervention à distance via notre outil de gestion de projet

Technologies concernées

Liste des livrables attendus

Compte-rendu d'audit de sécurité

Conférence téléphonique de débriefing

Nos références Audit Sécurité

Conseil National du Numérique