Présentation du client
Détaillant en ligne de premier plan disposant d’un large portefeuille de marques.
DÉFIS DU PROJET
- • L'entreprise souhaitait tester le site web à la recherche de failles techniques et de conception susceptibles de permettre à des pirates d'effectuer des transactions contraires à l'éthique. Elle a également demandé la protection du site web contre les attaques web telles que XSS, CSRF, l'injection SQL, etc.
- • La principale préoccupation de l'entreprise est de garantir que le portail web est sûr pour les transactions des clients et le partage d'informations personnelles.Solutions
Solutions
- • Nous avons réalisé un test de vulnérabilité pour les pages du site web et dans toutes les catégories, sur la base des normes OWASP et MITRE.
- • Nous avons effectué une revue statique et dynamique du code source afin d'atteindre les normes de sécurité.
- • Cartographie fonctionnelle des pages du site web avec les URL et les paramètres associés.
- • Tests de cas particuliers pour les attaques par falsification (tampering) dans le flux de paiement.
- • Évaluations des vulnérabilités réalisées sur toutes les pages web pour détecter les mauvaises configurations de sécurité.
- • Tests par domaine pour les élévations de privilèges – tests d'accès non autorisé aux comptes premium à l'aide des journaux et identifiants de session.
- • Réalisation d'attaques par dépassement de recherche couvrant les vulnérabilités liées aux interruptions de serveur et à la réactivité de l'application.
- • Vérification des attaques par injection – injection de scripts/fichiers basés sur la technologie dans les URL et les champs de recherche.
- • Réalisation de tests d'intrusion à l'aide de techniques de proxy pour manipuler les valeurs des paramètres / altérer les données opérationnelles.
- • Réalisation d'une revue du code source afin d'atteindre les normes de sécurité.
Avantage commercial
- • Nous avons prévenu les vulnérabilités de l'OWASP Top 10 et celles propres au domaine à l'aide de tests de sécurité.
- • Nous avons fourni un rapport détaillé des bugs de sécurité afin d'éviter les faux positifs et de minimiser les risques de sécurité.
- • Nous avons recommandé des solutions pour lutter contre les attaques de cross-scripting et de falsification.