Objectifs
Evaluer la robustesse de la plateforme web (serveurs, applications front/back offices, webservices et APIs) face aux menaces de type :
- Vol d’information
- Altération de la donnée
- Contournement de l’authentification
- Elévation de privilège
Application Web
Phase 1 : Reconnaissance et énumération des services Web
Phase 2 : Exploitation des vulnérabilités* avec du code malveillant
*exemple de vulnérabilités courantes : Service ouverts et mal sécurisés, logiciel non à jour, éléments de sécurité contournable, erreur de configuration, failles d’injection, vulnérabilités dans la gestion de l’authentification et des sessions, manque de contrôle sur les accès
Phase 3 : Rédaction du rapport et restitution des failles
Application mobile
Analyse statique : étude du fonctionnement du code de l’application, étude des interactions avec le système
Analyse dynamique : exploitation des vulnérabilités* identifiées, étude de données échangées avec un serveur et attaque sur ces échanges
*exemple de vulnérabilités courantes : des données mal stockées, des communications réseau mal sécurisées, des interactions avec la plateforme mal-configurées, des problèmes de droit, des fonctionnalités qui peuvent être contournées
