Web Application Penetration Testing (WAPT)

Le service de Web Application Penetration Testing est un des services de sécurité applicative (Application Security Assessment) proposés par ISGroup.

Les applications web sont désormais prévalentes, toujours plus complexes pour tous les business basés sur le web.

On analysera les composants critiques d'un portail web, une application E-Commerce ou une plateforme web.

Le testeur est en mesure d'identifier les problèmes evidents ou cachés en employant des techniques manuelles et centaines d'instruments appropriés.

Comme pour les applications client/server, les applications web souffrent en général de la mauvaise gestion des requêtes du client, de validation et contrôle manquants ou erronés de la part du développeur.

Par leur nature, les applications web sont complétement exposées et accessibles, cela rend la sécurité par secret (security through obscurity) impossible, et demande que le code de l'application soit particulièrement résistant.

En deuxième lieu, les applications web élaborent leurs données à partir de requêtes HTTP, un protocole qui consent une myriade de codages et encapsulations différentes. diverse.

Description

Un Web Application Penetration Test est la simulation d'un attaquant vis à vis d'un site, portail ou application web. Les essais mirent en premier lieu à découvrir et identifier toutes les resources exposées sur l'objectif.

De même, le testeur effectue une analyse de la business logic pour vérifier l'éventuelle présence d'erreurs conceptuelles.

Ensuite avant de tester les applications web réélles on contrôle l'infrastructure pour rechercher les vulnérabilités connues ou encore inconnues.

Une fois identifiés des points d'attaque (entry point) valides, on procède avec la tentative d'attaque qui a pour objectif le dommage le plus profond et vaste possible.

Successivement, chaque paramètre est verifié avec des valeurs prédefinies soit manuellement soit automatiquement, et on essaye les techniques d'attaque génériques pour l'infrastructure en objet.

Selon le niveau d'accès obtenu, on essayera d'effectuer action interdites, extraire données du database de backend, télécharger du disque fichiers ou sources, modifier informations et où possible obtenir le plein contrôle sur l'ordinateur et de ceux qui lui sont autour.

Output

Le Report est un document simple et détaillé qui résume les résultats de l'activité et est divisé en trois parties différentes, comme expliqué auparavant:

Executive Summary
Au début du Report, sur moins d'une page, il y a le résumé de haut niveau adressé au Management.

Vulnerability Details
La partie technique qui décrit en détail les vulnérabilités observées et leur impact, adressée au Security Manager.

Remediation Plan
Section technique contenant instructions détaillées sur la solution des problèmes identifiés, adressée à System Administrator.

Working with us is pretty simple, just call the number (+39) 045 4853232 or send an e-mail so that we can get to know each other and discuss about your IT Security needs.

Request our WAPT - Web Application Penetration Test services

sales@isgroup.it