← All insights
Case Study · VAPT

Prévenir les attaques web/applicatives grâce à un audit de sécurité.

success story img detail10

Présentation du client

Détaillant en ligne de premier plan disposant d’un large portefeuille de marques.

DÉFIS DU PROJET

  • • L'entreprise souhaitait tester le site web à la recherche de failles techniques et de conception susceptibles de permettre à des pirates d'effectuer des transactions contraires à l'éthique. Elle a également demandé la protection du site web contre les attaques web telles que XSS, CSRF, l'injection SQL, etc.
  • • La principale préoccupation de l'entreprise est de garantir que le portail web est sûr pour les transactions des clients et le partage d'informations personnelles.Solutions

Solutions

  • • Nous avons réalisé un test de vulnérabilité pour les pages du site web et dans toutes les catégories, sur la base des normes OWASP et MITRE.
  • • Nous avons effectué une revue statique et dynamique du code source afin d'atteindre les normes de sécurité.
  • • Cartographie fonctionnelle des pages du site web avec les URL et les paramètres associés.
  • • Tests de cas particuliers pour les attaques par falsification (tampering) dans le flux de paiement.
  • • Évaluations des vulnérabilités réalisées sur toutes les pages web pour détecter les mauvaises configurations de sécurité.
  • • Tests par domaine pour les élévations de privilèges – tests d'accès non autorisé aux comptes premium à l'aide des journaux et identifiants de session.
  • • Réalisation d'attaques par dépassement de recherche couvrant les vulnérabilités liées aux interruptions de serveur et à la réactivité de l'application.
  • • Vérification des attaques par injection – injection de scripts/fichiers basés sur la technologie dans les URL et les champs de recherche.
  • • Réalisation de tests d'intrusion à l'aide de techniques de proxy pour manipuler les valeurs des paramètres / altérer les données opérationnelles.
  • • Réalisation d'une revue du code source afin d'atteindre les normes de sécurité.

Avantage commercial

  • • Nous avons prévenu les vulnérabilités de l'OWASP Top 10 et celles propres au domaine à l'aide de tests de sécurité.
  • • Nous avons fourni un rapport détaillé des bugs de sécurité afin d'éviter les faux positifs et de minimiser les risques de sécurité.
  • • Nous avons recommandé des solutions pour lutter contre les attaques de cross-scripting et de falsification.