Notre méthodologie d'Audit d'application Web

L’objectif de ce test d’intrusion est de simuler le comportement d’un tiers malveillant qui accède à votre application depuis Internet. Au cours d'un audit d'application Web, les objectifs généraux sont les suivants:
  • Identifier les vulnérabilités techniques sur un environnement de recette.
  • Analyser leurs impacts à la fois sur le plan technique et sur le plan métier.
  • Déterminer les risques encourus.
  • Établir les recommandations, à court terme et à long terme, pour chaque vulnérabilité.
  • Définir les actions à mettre en œuvre au sein d'un schéma directeur.
Nos audits concernent les applications Web de tout type, quelque soit la solution d'hébergement et les languages de programmation utilisés.
Vulnérabilités recherchées
  • Vulnérabiltés principales
    • Injections (SQL Injection, Blind SQL Injections)
    • XSS (cross-site scripting)
    • Mauvaise authentification et étanchéité des sessions
    • Accès direct à des pages protégées
    • Absence de contrôle de session ou de variable (LFI)
    • Exposition de données sensibles
    • CSRF (Cross site Request Forgery)
    • Mauvaise configuration de la sécurité
    • Redirections invalides
    • Absence de stockage cryptographique
    • Absence de protection transferts des données
    • Utilisation de composant vulnérable
Vérifications supplémentaires
  • Configuration
    • Configuration des bases de données
    • Configuration applicative du serveur Web
    • Configuration système du serveur Web
  • Authentification
    • Audit des mots de passe utilisateurs
    • Authentification forte
  • Architecture
    • Architecture de l'application
    • Défauts de cloisonnement vertical
    • Défauts de cloisonnement horizontal