Dans le cadre de la gestion de sa sécurité, notre client souhaitait réaliser un test d’intrusion sur plusieurs de ses API avant de les rendre publiques. L’objectif étant de s’assurer des bons respects des règles de sécurité et de développement du projet, mais également par la suite de pouvoir simplifier la gestion des accès des dites API pour leurs clients.
Audit d’intrusion en boîte noire : consiste à réussir à s’introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système. Le pentester n’a alors aucune connaissance de l’environnement et teste à l’aveugle. Depuis l’extérieur, son objectif est donc de trouver comment s’introduire dans le système cible comme un attaquant extérieur pourrait le faire.
Reconnaissance
Test des contrôles d’accès
Validation et traitement des entrées
Application / Logique d'entreprise