Face à des attaques de plus en plus nombreuses et élaborées, la sécurité des applications web est un enjeu majeur. En effet, la sécurité revêt aujourd’hui une importance capitale pour rassurer et fidéliser des clients, ou convertir des prospects.

Il existe plusieurs moyens d’évaluer la sécurité d’une application web. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion web (ou pentest web). Nous y détaillons les principes et objectifs ainsi que des use cases de tests d’intrusion en boite noire, grise et blanche sur diverses cibles.

Dans un précédent article, nous avions passé en revue la vulnérabilité la plus critique des applications web selon le Top 10 OWASP : le défaut de contrôle d’accès. Aujourd’hui, nous nous attaquons aux vulnérabilités et exploitations courantes liées au manque ou à l’absence de chiffrement dans les applications.

L’OWASP (Open Web Application Security Project) est une communauté qui œuvre à l’amélioration de la sécurité des systèmes d’information.

Cette organisation produit de nombreuses ressources, notamment des guides et normes de sécurité des applications dont l’OWASP Top 10. Elle développe également des outils open source comme ZAP (un proxy d’interception, alternative à BURP), ou Amass (pour cartographier sa surface d’attaque).

En quoi consiste la pseudonymisation de données ?

La pseudonymisation est une technique de protection des données, qui consiste à traiter des données de telle sorte qu’il ne soit pas possible de les attribuer à une personne spécifique sans avoir recours à des informations additionnelles. En effet, plus concrètement, il s’agit de remplacer les identificateurs personnels réels (noms, prénoms, emails, adresses, numéros de téléphone, etc.) avec des pseudonymes.

En quoi consiste l’élévation de privilèges ?

L’élévation de privilèges est un concept clé pour les attaquants qui cherchent à accéder à des informations sensibles ou à des fonctionnalités restreintes sur un système informatique. Généralement, cela consiste à exploiter des faiblesses de sécurité dans un système donné pour passer d’un niveau d’accès limité, avec des autorisations standards, à un niveau d’accès plus élevé, avec des droits plus importants.

Sur les systèmes Linux, il existe plusieurs techniques pour élever les privilèges d’un utilisateur. L’exploitation de faiblesses de configuration, les vulnérabilités présentes dans les programmes et la mauvaise gestion de droits en sont les principales.

En quoi consiste le rate limiting ?

Lors de nos pentests sur des plateformes web, un des principaux vecteurs d’attaque que nous utilisons le plus souvent pour découvrir et exploiter des vulnérabilités est le manque de rate limiting (ou limitation de débit).

Partant de ce principe, nous estimons que toute application web se verra, tôt ou tard, confrontée à une attaque générant beaucoup de trafic. Celles-ci peuvent se présenter sous plusieurs formes, mais les principales sont les suivantes :

La sécurité des serveurs est un enjeu majeur pour les entreprises. En effet, étant un élément central dans le fonctionnement de toutes les composantes d’un système d’information (applications, réseau, infrastructure, collaborateurs, etc.), les serveurs sont souvent les cibles privilégiées d’attaques.

Au fil des années, les attaques d’ingénierie sociale sont devenues une réalité pour toutes les entreprises, quel que soit leur secteur d’activité ou leur taille.

En effet, au-delà des vulnérabilités techniques souvent exploitées pour obtenir un accès non autorisé aux données et aux systèmes, la porte d’entrée favorite des attaquants reste les collaborateurs d’une entreprise et ce, la plupart du temps via des attaques de phishing.