Liste des livrables attendus
Compte-rendu d'audit de sécurité
Conférence téléphonique de débriefing
Audit Sécurité
By Bearstech
PME Grands Comptes PurePlayers Boutique ecommerceBlackbox :
Avec les accès d'un simple utilisateur, dans des conditions réelles d'attaques. La cible fait l'objet de plusieurs tests portant aussi bien sur la partie système que la partie applicative. Ces tests "blackbox" se déroulent en plusieurs étapes :
- Phase 1 : prise d'empreintes, détection des services, identification des versions des applications
- Phase 2 : détection de vulnérabilités
- Phase 3 : évaluation des risques et d'exploitation
- Les tests portent sur diverses techniques d'intrusion :
- Fuites d'informations ;
- Configuration du serveur ;
- Injection base données (type SQLi) et injection de code (XSS)
Whithebox :
Ces tests visent une étude approfondie de l'application, de son fonctionnement, de son code et de son backoffice.
Ils nécessitent des accès à l'administration du site et au code source. Elle permet d'approfondir le niveau de détection sur certaines attaques comme l'escalade de privilège et ceci s'avère particulièrement utile quand plusieurs types d'utilisateurs, avec des droits différents accèdent à l'administration. Ces tests permettent de relever d'éventuelles mauvaises pratiques dans le code et des vulnérabilités en backoffice.
Modalité de mise en oeuvre
- Les tests réalisés sont l'objet de procédures automatisées et de procédures manuelles incluant les techniques suivantes : ports scanning, fuzzing d'url, brute forcing, exploitation, escalade de privilèges, dénis de service, injections...
- Conférence téléphonique de briefing initiale
- Intervention à distance via notre outil de gestion de projet