Audit Intrusif : détection des failles d’une API bancaire

Contexte projet

Dans le cadre de la gestion de sa sécurité, notre client souhaitait réaliser un test d’intrusion sur plusieurs de ses API avant de les rendre publiques. L’objectif étant de s’assurer des bons respects des règles de sécurité et de développement du projet, mais également par la suite de pouvoir simplifier la gestion des accès des dites API pour leurs clients.

Solution apportée

Audit d’intrusion en boîte noire : consiste à réussir à s’introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système. Le pentester n’a alors aucune connaissance de l’environnement et teste à l’aveugle. Depuis l’extérieur, son objectif est donc de trouver comment s’introduire dans le système cible comme un attaquant extérieur pourrait le faire.


Reconnaissance

  • Test des paramètres de débogage et des paramètres de développement
  • Identification des points d'entrée de données
  • Identification des technologies utilisées
  • Planification de la surface d'attaque et des applications
  • Découverte Faille Connues / Inconnues


Test des contrôles d’accès

  • Authentification
  • Gestion de session
  • Contrôles d'accès

Validation et traitement des entrées


Application / Logique d'entreprise

Technologies & Compétences

  • HTML
  • Javascript
  • Metasploit
  • Python
  • JSON
  • Définir les forces et faiblesses du système de sécurité actuel
  • Identifier les vulnérabilités
  • Mesurer les impacts des menaces de sécurité
  • Définir la portée des tests de pénétration
  • Réaliser les tests de pénétration
  • Établir les résultats Pentesting

Bénéfices client

  • Apporter une plus grande visibilité sur les défaillances découvertes concernant les API et préconisations sur les corrections à apporter
  • Rassurer sur la qualité de développement et de mise en place des outils de manière sécurisée
  • Gain de temps et de productivité pour l’intégration de nouveaux clients sur les outils suite à la capacité du client à passer les API en accès public après application des correctifs