Audit Intrusif : détection des failles d’une API bancaire

Dans le cadre de la gestion de sa sécurité, notre client souhaitait réaliser un test d’intrusion sur plusieurs de ses API avant de les rendre publiques. L’objectif étant de s’assurer des bons respects des règles de sécurité et de développement du projet, mais également par la suite de pouvoir simplifier la gestion des accès des dites API pour leurs clients.

Audit d’intrusion en boîte noire : consiste à réussir à s’introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système. Le pentester n’a alors aucune connaissance de l’environnement et teste à l’aveugle. Depuis l’extérieur, son objectif est donc de trouver comment s’introduire dans le système cible comme un attaquant extérieur pourrait le faire.

Reconnaissance

• Test des paramètres de débogage et des paramètres de développement
• Identification des points d'entrée de données
• Identification des technologies utilisées
• Planification de la surface d'attaque et des applications
• Découverte Faille Connues / Inconnues

Test des contrôles d’accès

• Authentification
• Gestion de session
• Contrôles d'accès

Validation et traitement des entrées

Application / Logique d'entreprise

• HTML
• Javascript
• Metasploit
• Python
• JSON
• Définir les forces et faiblesses du système de sécurité actuel
• Identifier les vulnérabilités
• Mesurer les impacts des menaces de sécurité
• Définir la portée des tests de pénétration
• Réaliser les tests de pénétration
• Établir les résultats Pentesting