Application Penetration Assessment

Identification et correction des vulnérabilités des applications

Etapes suivantes :

Overview

Pourquoi donner aux pirates informatiques la possibilité d'identifier les vulnérabilités de vos applications ? Laissez à Foundstone le soin de découvrir vos failles de sécurité et de les corriger avant qu'il ne soit trop tard. Foundstone peut vous aider à préserver la réputation de votre entreprise et lui éviter des pertes de revenus.

D'après le NIST (National Institute of Standards and Technology), jusqu'à 92 % des vulnérabilités actuelles se situent au niveau de la couche Application. Pratiquement toutes les grandes applications utilisées de nos jours ont présenté au moins une vulnérabilité critique révélée au grand jour, avec des conséquences désastreuses pour l'entreprise : recul des ventes, atteinte à la réputation et perte de confiance des clients. Le service Application Penetration Assessment de Foundstone évalue les applications depuis le point de vue d'un pirate informatique afin de détecter leurs failles avant qu'elles ne puissent être rendues publiques et exploitées.

Principaux avantages

  • Détection des brèches de sécurité dans les applications avant qu'elles ne soient découvertes par les pirates
  • Contrôles qualité visant à vérifier la sécurité des applications avant leur distribution
  • Evaluation des risques et de leur incidence potentielle sur les activités de l'entreprise et sur ses produits
  • Tests manuels fiables, efficaces et précis
  • Transfert actif des connaissances concernant les techniques de test appliquées, les problèmes identifiés et les mesures correctives

Methodology

Les premiers tests consistent en des examens statiques des bibliothèques et des fichiers exécutables binaires qui composent l'application. Des analyses au niveau du serveur sont effectuées pour rechercher les vulnérabilités connues et les erreurs de configuration courantes. Nos consultants spécialisés en tests d'intrusion mettent ensuite en œuvre un processus de découverte afin de collecter des informations au sujet de l'application et d'identifier les vulnérabilités susceptibles d'entraîner la divulgation d'informations secrètes telles que des mots de passe, des clés cryptographiques ou des informations sur les clients. Au moyen de ces renseignements, Foundstone procède aux principaux tests, à savoir :

  • Tests de gestion des configurations, notamment pour révéler la présence d'informations sensibles dans les fichiers de configuration. Ces analyses visent également à rechercher des informations sur l'environnement susceptibles d'être altérées afin de modifier le comportement de l'application, ainsi que des données secrètes et des chaînes textuelles présentes dans les fichiers binaires de l'application ou dans la mémoire.
  • Examen des mécanismes de protection des données au repos et pendant leur transit, lors de la communication d'informations sensibles via le réseau ou lorsqu'elles sont enregistrées sur disque ou dans une base de données.
  • Mise à l'épreuve des mécanismes d'authentification et d'autorisation afin de déterminer les possibilités de contournement ou d'élévation de privilèges.
  • Contrôles de gestion d'état et de session susceptibles d'entrer en jeu dans des prises de contrôle de session ou d'autres attaques du même type.
  • Tests de validation des données en vue de détecter les problèmes tels que l'injection de code SQL et les attaques par Buffer Overflow.
  • Tests portant sur la gestion des erreurs et des exceptions qui consistent à bloquer l'application dans un état non sécurisé ou à causer une divulgation d'informations à l'aide des fichiers de vidage sur incident.
  • Vérifications des mécanismes d'audit et de journalisation consistant à corrompre les pistes d'audit, à créer de fausses entrées de journal, à identifier les informations sensibles dans les fichiers journaux ou à utiliser le mécanisme de journalisation en tant que vecteur d'attaque.

L'objectif principal de l'ensemble de ces tests est de compromettre les serveurs, les agents distants et les clients de l'application. Foundstone recherche également au sein de l'application les vulnérabilités qu'un pirate pourrait exploiter pour accéder au système d'exploitation sous-jacent ou aux serveurs de bases de données principaux.