English version English version Plan du site Plan du site Site clientLogin
Sécurité Informatique

*Le test d'intrusion applicatif

Le test d'intrusion applicatif consiste à rechercher des vulnérabilités au sein d'une application web complexe.

Les consultants Xmco Partners rechercheront les vulnérabilités et possibilités de malversation au plus profond de l'application (site web transactionnel).

Nos tests sont entièrement réalisés par des experts en intrusion web et se déroulent en deux phases : sans aucune information et avec un ou plusieurs comptes utilisateurs.

Un test d'intrusion applicatif vous permettra de répondre aux questions suivantes :

  • L'étanchéité entre les comptes est-elle correctement assurée ?
  • Les utilisateurs peuvent-ils contourner les restrictions et accéder à des fonctions interdites ?
  • Est-il possible de commander frauduleusement des articles sur notre site transactionnel ?
  • Les données confidentielles de nos clients sont-elles protégées ?
  • Un utilisateur malicieux peut-il porter préjudice à un autre utilisateur ?
  • Etc.



> Notre méthodologie

La valeur ajoutée de notre méthodologie réside dans notre capacité à auditer en détail les applications afin d'y détecter les malversions possibles : modification des prix, accès aux données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.

Les techniques d'attaque informatique les plus récentes peuvent être mises en oeuvre par nos experts pour évaluer l'application web : SQL Injection, Parameter tampering, Fuzzing, SOAP-XML injection, attaques SSI, Cross Site Scripting et CSRF Attacks, Session-id prediction, web-cache poisonning, etc. Notre méthodologie s'appuie également sur les méthodologies ouvertes OSSTMM et OWASP mondialement reconnues pour leur efficacité.


CCWAPSS

Le niveau de sécurité de l'application testée sera évalué suivant l'échelle de notation CCWAPSS. Cette échelle est basée sur des critères communs relatifs à la sécurité d'une application. Nous pourrons ainsi définir une note de sécurité de 0 à 10 pour l'application.

> Les livrables

Notre volonté de synthétiser l'information, de la rendre accessible aux responsables opérationnels et de proposer des plans d'actions pertinents, nous a permis de gagner la confiance des plus grandes entreprises.

Le rapport technique détaillé
La livraison d'un test d'intrusion est constituée d'un rapport technique détaillé et une soutenance des résultats au sein des locaux du client.
La démarche et chacune des vulnérabilités trouvées sont décrites en détail et de manière très didactique. Les vulnérabilités sont illustrées avec des captures d'écran et les commandes techniques permettant de reproduire les tests.

Le rapport de synthèse

Un livrable de synthèse, à destination des instances dirigeantes, présentera une synthèse des résultats des tests et explicitera les risques réels découverts.



Tests d'intrusion

Points forts Xmco Nos points forts :

+ Expertise des technologies n-tiers

+ Prise en compte des aspects "métier" de l'application

+ Recherche manuelle en profondeur

+ Rapport de très haute qualité

info@xmcopartners.com

+ Liste des technologies testées