Notre méthodologie d'audit d'application Web
L’objectif de ce test d’intrusion est de simuler le comportement d’un tiers malveillant qui accède à votre application depuis Internet. Au cours d'un audit d'application Web, les objectifs généraux sont les suivants:
- Identifier les vulnérabilités techniques sur un environnement de recette.
- Analyser leurs impacts à la fois sur le plan technique et sur le plan métier.
- Déterminer les risques encourus.
- Établir les recommandations, à court terme et à long terme, pour chaque vulnérabilité.
- Définir les actions à mettre en œuvre au sein d'un schéma directeur.
Nos audits concernent les applications Web de tous types, quelle que soient la solution d'hébergement et les langages de programmation utilisés.
Vulnérabilités recherchées
- Vulnérabilités principales
- Injections (SQL Injection, Blind SQL Injections)
- XSS (cross-site scripting)
- Mauvaise authentification et étanchéité des sessions
- Accès direct à des pages protégées
- Absence de contrôle de session ou de variable (LFI)
- Exposition de données sensibles
- CSRF (Cross site Request Forgery)
- Mauvaise configuration de la sécurité
- Redirections invalides
- Absence de stockage cryptographique
- Absence de protection transferts des données
- Utilisation de composant vulnérable
Vérifications supplémentaires
- Configuration
- Configuration des bases de données
- Configuration applicative du serveur Web
- Configuration système du serveur Web
- Authentification
- Audit des mots de passe utilisateurs
- Authentification forte
- Architecture
- Architecture de l'application
- Défauts de cloisonnement vertical
- Défauts de cloisonnement horizontal