Les types d’attaques proposés (liste non exhaustive) sont :
- Injection SQL, injection SQL différentielle, NOSQL injection
- Code injection
- Vulnérabilité au XSS ( Cross-Site Scripting ) et XST ( Cross-Site Tracing ) : injection de contenu
- Faille CSRF : transmission de requête HTTP falsifiée à un utilisateur
- Backdoor
- Formulaire
- RFI ( Remote File Inclusion )
Nous déroulons des scenarii d’intrusions spécifiques, répondant à votre cahier des charges. Les tests d’intrusions peuvent se réaliser sur la partie front et/ou backend de votre SI.
- Un scenario type commencera par une connexion à l’application. Une fois connecté, que ce soit sur la partie front et/ou backend, le scan se déroulera en lançant une batterie de tests en fonction de vos besoins ou en fonction de la structuration de votre application : test d’intrusion, sql injection, recherche de failles au niveau des formulaires, envoie de requêtes falsifiés, etc.
- Les scenarii que nous proposons sont capables d’exclure des urls lors du scan. En effet pour des sites ayant des pages de paiement, ou faisant appel à des services externes, il est préférable de ne pas scanner ces urls externes.
- La durée d’exécution des scenarii mis en place peut s’avérer être très longue. En effet les scans se réalisent par des requêtes HTTP concurrentes.
- Pour cela nous vous conseillons sur votre configuration afin de trouver le juste équilibre pour un scan rapide qui ne stresse pas vos serveurs.
- Les résultats sous forme de rapports visuels sont automatiquement générés à la fin des scans et permettent donc d’identifier les problèmes et la façon de les résoudre.
- Nous réalisons des synthèses orientés selon vos attentes.
- Nos outils de scans supportent les plateformes BSD, Linux, Unix,Windows, Solaris
- Les serveurs web scannés : Apache, nginx, IIS, Tomcat, etc.
- Les langages identifiés : php, ASP, java, python…
- Les bases de données qui peuvent être scannées : Mysql, Postgresql, Oracle, Mongodb,etc…
