Dans quelles situations peut se produire une vulnérabilité path traversal ? Comment détecter cette faille et s’en protéger ?
C’est ce que nous allons détailler dans cet article.
Les failles server-side template injection (SSTI) restent moins recherchées que d’autres types de vulnérabilités. Pourtant, leur impact est important et mène souvent à de l’exécution de code à distance (RCE). Ce sont donc des failles à ne pas sous-estimer.
Dans quels contextes se produisent les vulnérabilités SSTI ? Comment détecter ces failles et comment s’en protéger ?
C’est ce que nous allons détailler dans cet article.
Les entreprises du secteur logistique font face au défi de s’appuyer sur les nouvelles solutions digitales sans risquer leur sécurité.
Dans un marché en plein essor, les nouvelles technologies sont effet devenues un véritable levier de performance. Mais leur adoption s’accompagne d’une hausse des risques de cybersécurité. La préoccupation est désormais de profiter des avantages de ces outils tout en protégeant leurs systèmes d’information.
C’est là qu’un test d’intrusion va aider à renforcer le niveau de sécurité, car il permet de vérifier le risque posé par des attaquants sur une cible donnée. Pour une entreprise logistique, il évaluera la sécurité des solutions web, des logiciels de contrôles, des capteurs intelligents, etc. face à des cyberattaques.
Quelles sont les priorités lors d’un test d’intrusion pour une entreprise du secteur logistique ?
Voici un panorama des enjeux de cybersécurité que nous rencontrons fréquemment et qui peuvent être des points d’attention spécifiques.
Donner accès au code source lors d’un pentest présente principalement des avantages ou des inconvénients, selon les points de vue !
Voici notre retour d’expérience, qui concerne en particulier les pentests d’applications web.
La sécurité des applications web est un enjeu majeur pour les entreprises. Plateformes SaaS, outils internes ou sites e-commerce, tous ces systèmes doivent être sécurisés pour contrer des attaques de plus en plus nombreuses ciblant toutes leurs fonctionnalités et composantes : serveurs, APIs, authentification, session, contrôle d’accès, composants tiers, etc.
Au-delà de l’aspect protection contre des attaques, la sécurité est également devenue un point clé et un atout différenciant dans les phases d’avant-vente, notamment en B2B.
Nous réalisons des pentests tous les jours. (Enfin, 5 jours sur 7). Aujourd’hui, nous vous faisons passer en coulisse : nous avons regardé de plus près les tests d’intrusion menés en 2020, afin de partager avec vous quelques chiffres sur les failles trouvées.
Nous avons également relevé les trois vulnérabilités qui reviennent le plus fréquemment durant nos pentests et donnons notre éclairage sur la présence de ces failles. Enfin, nous présentons quelques autres observations issues de nos pentests.
Utilisé pour le phishing et autres attaques d’ingénierie sociale, le spoofing d’email est redoutable. Bien exécuté, il est difficile à détecter et induit en erreur le destinataire.
Pour le contrer, des solutions techniques peuvent être mises en place lorsque vous configurez vos serveurs mails. Nous allons ainsi voir les trois éléments indispensables à installer pour se protéger du spoofing d’email : SPF, DKIM et DMARC.
Des fuites de données aux malwares, la cybersécurité fait presque tous les jours les titres. En particulier dans le contexte de la crise sanitaire, les cyberattaques touchent les entreprises de toute taille. Comment se préparer pour faire face aux cyberattaques ?
Voici une sélection de statistiques actuelles de cybersécurité, afin de connaitre les tendances actuelles des menaces en 2021. Pour se préparer à faire face à des cyberattaques, le pentest est une solution très efficace pour renforcer sa sécurité.
Pour de nombreuses startups, la cybersécurité et le pentest en particulier sont des sujets à traiter en raison des demandes de leurs clients ou de leurs investisseurs.
Certaines startups ont une approche security by design et des process intégrants des tests de sécurité dans le cycle de développement logiciel. D’autres startups sont moins matures sur le sujet, car elles n’ont pas d’expertise sécurité en interne, et se posent des questions lorsqu’il devient nécessaire de réaliser un premier pentest.
Les risques évalués lors d’un pentest se concentrent généralement sur les attaques perpétrées depuis l’extérieur du système d’information. En effet, une approche classique consiste à tester dans un premier temps les risques d’attaques externes (pentest en boite noire), puis dans un second temps les risques d’attaques à partir d’un accès client ou partenaire de l’entreprise (pentest en boite grise).
La sécurité est au cœur des préoccupations des éditeurs d’application SaaS. En effet, elle est indispensable pour que les utilisateurs accordent leur confiance à la solution et pour garantir que les données seront protégées.
Sécurité de l’authentification, cloisonnement des données, chiffrement des données, mais aussi sécurité du parcours utilisateur, continuité de service et intégrations tierces… Les problématiques sécurité des applications SaaS sont multiples. Un pentest permet d’évaluer la robustesse d’une plateforme SaaS afin de mettre à l’épreuve et éventuellement de renforcer son niveau de sécurité. Voici une liste des aspects qui méritent une attention particulière lors d’un pentest.
Les applications mobiles font partie des éléments à sécuriser dans la mesure où elles manipulent des données personnelles, accèdent à des informations sensibles, et permettent dans certains cas de piloter des appareils à distance. Très utilisées dans le domaine de l’IoT, elles sont également au cœur du business model de nombreuses FinTech, HealthTech et entreprises innovantes de divers secteurs.
La sécurité des applications mobiles comprend différents aspects : la sécurité des applications mobiles elles-mêmes (version iOS ou Android), la sécurité des APIs et la sécurité des serveurs. La sécurité du back end (APIs et serveurs) est généralement plus critique que la sécurité du front end (apps iOS / Android), mais ceci dépend du contexte technique et fonctionnel de l’application elle-même.
PASSI, CREST, OSCP, CEH… Faut-il faire un pentest avec un prestataire certifié ? Les certifications en sécurité permettent aux entreprises proposant des audits de sécurité de se qualifier. Si vous souhaitez faire appel à ce type de service, ce sont des éléments intéressants à prendre en compte pour le choix d’un prestataire, mais ce ne sont pas les seuls éléments permettant d’évaluer un niveau de qualité. De plus, si vous commanditez un pentest, se pose la question de la valorisation de la démarche et des éventuelles certifications que vous pourrez mettre en avant suite à l’audit de sécurité.