Services de sécurité informatique

Revue de code orientée sécurité

Les applications Web sont un composant clef pour la plupart des entreprises. Elles sont utilisées pour diverses raisons et très souvent pour capturer, manipuler, stocker et transmettre des données sensibles (informations commerciales confidentielles, informations sur les employés, informations financières, etc).

La valeur élevée des données accessibles via des applications web augmente leur valeur en tant que cible, c'est pourquoi des évaluations régulières sont fortement recommandées.

Notre équipe utilise une méthodologie hybride composée de tests automatisés et manuels pour évaluer le code source de vos applications Web Java, PHP, et .NET afin d'identifier les vulnérabilités avant que les cybercriminels ne le fassent.

Nos services s'appuient sur des analystes de la cyber sécurité hautement qualifiés et des développeurs ayant une vaste expérience, tant en défense qu'en attaque.

Quels sont les éléments que nous testons au cours d’une revue de code orientée sécurité ?

Notre revue de code orientée sécurité couvrent partiellement les vulnérabilités "OWASP Top Ten" et "CWE/SANS TOP 25 Most Dangerous Software Errors". Ce qui suit est une liste non exhaustive d'éléments qui seront vérifiés :

Failles d'injection

Vulnérabilité spécifique aux applications Web, telles que l'injection SQL, l'injection de commandes OS et l'injection LDAP, qui se produisent lorsque des données fournies par l'utilisateur sont envoyées à une application Web dans le cadre d'une commande ou d'une requête. La charge utile malveillante de l'attaquant peut amener l'application Web à exécuter des commandes non-intentionnelles ou à accéder à des données sans autorisation appropriée.

Cross Site Scripting (XSS)

Les vulnérabilités XSS se produisent lorsqu'une application Web accepte les entrées fournies par l'utilisateur dans une page Web sans validation ni encodage. Le Cross Site Scripting permet à un attaquant d'exécuter des scripts dans le navigateur de la victime, ce qui peut détourner des sessions d'utilisateurs, défigurer des sites Web ou rediriger l'utilisateur vers des sites malveillants.

Authentification défectueuse

L'authentification et la gestion des sessions sont souvent mal conçues, ce qui permet aux cybercriminels de compromettre les informations d'identification des utilisateurs, les clés ou les jetons de session, ou d'exploiter d'autres failles pour usurper l'identité d'autres utilisateurs.

Exposition de données sensibles

De nombreuses applications Web et API ne protègent pas correctement les informations sensibles, telles que les numéros de carte de crédit, les identifiants d'utilisateur, les informations des patients, etc. Les cybercriminels peuvent voler ou modifier ces données faiblement protégées pour commettre des fraudes par carte de crédit, des vols d'identité ou d'autres crimes.

XML External Entities (XXE)

De nombreux parseurs XML traditionnels ou mal configurés évaluent les références d'entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes en utilisant le gestionnaire de fichiers URI, partages de fichiers internes, l'analyse des ports internes, l'exécution de code à distance et les attaques par déni de service.

Contrôle d'accès défectueux

Les restrictions sur ce que les utilisateurs authentifiés peuvent faire ne sont souvent pas correctement appliquées, ce qui peut conduire à des vulnérabilités d'escalade des privilèges horizontaux et verticaux. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et des informations non-autorisées, telles que l'accès aux comptes d'autres utilisateurs, la visualisation de fichiers sensibles, la modification des données d'autres utilisateurs, la modification des droits d'accès, etc.

Notre revue de code orientée sécurité peut être complémentée par un test d'intrusion pour application web afin de détecter les failles en profondeur.

Qu'obtiendrez-vous ?

Toutes les constatations de la revue de code orientée sécurité seront documentées dans le rapport final et comparées à un profil forces/faiblesses par rapport aux normes internationales en matière de sécurité des TI. Les faiblesses identifiées seront évaluées et complétées par des recommandations et des mesures correctives, et classées par ordre de priorité en fonction du risque associé.

Le rapport final sera discuté lors d'une présentation avec le client. Le rapport comprendra une synthèse complète et significative de la revue de code orientée sécurité (executive summary). Il comprendra également tous les résultats détaillés avec les preuves respectives et des recommandations pour les mesures de sécurité futures basées sur les résultats.

Web Application Penetration Test Report

Nos Certifications Cybersécurity & Red Teaming

Nos consultants sécurité et ethical hacker détiennent les certifications les plus reconnues dans l’industrie de la cybersécurité et tests d’intrusion tels que : SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CREST CRT, CEH, CISSP, CISA, et bien plus encore !

Top