Test d’Intrusion d’Application Internet
Test de la sécurité informatique sur les applications web
Avec l’avènement du commerce électronique, les entreprises utilisent toujours plus le web pour promouvoir et vendre leurs produits et/ou services. Le service Cyber Security d’INSIDE développe donc des activités de prévention et de sécurité sur toutes les applications internet dont disposent les entreprises.
L’intervention consiste en le balayage et la surveillance de toutes les sections de l’application internet, avec une attention particulière à celles protégées par un nom d’utilisateur et un mot de passe lesquels, dans l’éventualité d’un crack, permettraient l’accès aux services offerts par le biais des protocoles HTTP ou HTTPS.
L’intervention concerne les champs de sécurité suivants:
- Balayage des données sensibles envoyées par le biais de l’application, données exposées au risque d’interception par des personnes malveillantes, en examinant le code HTML, les scripts, ou les autres informations pouvant être obtenues à partir d’éventuels mécanismes de débogage;
- Analyse approfondie des champs interactifs entre l’application et l’utilisateur, de manière à identifier les éventuelles lacunes créées par des saisies (in) volontaires;
- Procédures d’authentification;
- Résolution de problèmes liés à une session spécifique, comme par exemple l’expiration du délai, la déconnexion, le détournement, la connexion par le biais d’adresses non vérifiées, etc…;
- Validation et altérabilité des données;
- L’exécution de commandes dans des zones inattendues de l’application, lesquelles peuvent, par exemple, par le biais de chaînes SQL spécifiques, conduire à la manipulation directe de la base de données, avec possibilité d’acquisition, modification et suppression des données y figurant;
- Interactions inappropriées ou incorrectes avec le système d’exploitation (shell escare).