HumanisedTech Logo

Introduction Aux Tests de Pénétration pour les Applications Web

Qu'est-ce que l'Application Web Tests de Pénétration?

Application Web tests de pénétration est également connu comme un test d'intrusion ou le piratage éthique. Application Web Tests de Pénétration permettra de protéger vos applications web à partir d'simulé des attaques et vous aider à identifier d'éventuelles failles de sécurité, les faiblesses et les vulnérabilités pour y remédier. Vous pouvez utiliser des tests de pénétration de découvrir les vulnérabilités et les faiblesses de composants d'applications web et de l'Api, y compris le serveur back-end, la base de données, et le code source. 

Quel est l'intérêt de faire des Tests de Pénétration pour les applications Web? 

Les tests de pénétration est essentiel pour les applications web, comme la plupart des entreprises dépendent des applications web compte tenu de nombreuses applications web sont des systèmes critiques de mission. La plupart du temps, les applications web de stocker des données sensibles telles que les informations sur l'identifiant, détails de paiement, les informations médicales, et ainsi de suite et peut générer des revenus directement ou indirectement.  

Une application web violation peut directement causer des dommages financiers, de divulguer des informations sensibles, des dommages à la réputation de l'entreprise, de divulguer le plan d'affaires et de la stratégie et peut causer de l'organisation de la violation de ses obligations en matière de conformité.  

Types de Tests de Pénétration pour les Applications Web 

Lorsque vous effectuez un test de pénétration pour les applications web, il ya plusieurs aspects que vous devez considérer. Ces aspects déterminer l'emplacement (interne ou externe) et le type de test de pénétration est nécessaire. 

Il existe deux principaux types de tests de pénétration, par lieu de l'attaque. 

1. Interne les tests de pénétration 

Ce sont des attaques venant de l'intérieur de l'organisation interne de l'attaquant. Ceci est habituellement réalisé par le LAN. L'objectif est d'identifier les vulnérabilités qui peuvent exister au sein du pare-feu, simulant une attaque d'un employé malveillant. 

2. Externe de test de pénétration  

Les attaques de l'application externe, comme un attaquant externe. Le test simule comment un attaquant externe serait se comporter lorsque l'on affirme une attaque. Vous pouvez effectuer une externe pentest pour vérifier les pare-feu, les serveurs et les utilisateurs. 

En plus des deux ci-dessus les testingsil existe trois autres types de tests de pénétration à travers les différents aspects, tels que les niveaux d'accès et la portée de la connaissance:

1. Boîte noire test de pénétration 

Ce type de pentest, qui simule des attaques qui commence comme un attaquant externe n'ayant aucune connaissance préalable du système ciblé, sans informations d'identification des utilisateurs. 

2. Gris boîte de test de pénétration 

Ce type de pentest, qui simule des attaques qui commence comme un interne attaquant, avec au niveau de l'utilisateur l'accès à des systèmes spécifiques de connaissances. 

3. Blanc boîte de test de pénétration 

Ce type de pentest, qui simule des attaques commence avec une connaissance complète du code source et du système. 

Comment voulez-vous faire application web tests de pénétration? 

Application Web tests de pénétration est principalement fait en trois phases: 

  1. Phase De Planification 
  2. Phase D'Exploitation 
  3. Post-Phase D'Exploitation

Pentester doit respecter les aspects suivants au cours de la phase de planification: 

1. Définir le champ d'application de l'épreuve  

Nous identifier et de définir le champ d'application de test d'intrusion avant de commencer le pentest. 

2. Déterminer les critères de réussite pour pentest  

Là où l'on attend les résultats peuvent être dérivées à partir des besoins des utilisateurs, test d'intrusion fonctionne sur un modèle différent. Les critères de réussite ou de cas de test les critères de passage besoin d'être défini. 

3. L'examen de toute disposition des résultats de tests précédents, le cas échéant  

Si tout avant le test a été effectué, il est essentiel de revoir les résultats de ces essais de comprendre ce que les vulnérabilités existé dans le passé et ce d'assainissement et de contrôles ont été prises pour les résoudre. Ce qui donne toujours une meilleure image de la pentesters. 

4. Évaluer et d'apprendre autant que possible au sujet de l'essai de l'environnement 

Pentesters devriez acquérir une connaissance approfondie de l'environnement avant de commencer le test. Cette étape devrait s'assurer que les pentesters comprendre la logique d'entreprise, les pare-feu, ou d'autres protocoles de sécurité doivent être désactivés pour effectuer le test. 

Pentester doit respecter les aspects suivants au cours de la phase d'exploitation: 

1. La menace de la modélisation. 

2. Faire le test à l'aide de différents rôles, si nécessaire. 

3. Suivez les pré-défini des critères de succès et procédure de déclaration lors de la découverte de nouvelles vulnérabilités. 

4. Créer un rapport clair et détaillé expliquant les mesures prises, les différents types de vulnérabilités ont été détectées, et le niveau de gravité de chaque vulnérabilité. 

Pentester doit respecter les aspects suivants lors de la phase d'exploitation:

1. Fournir des recommandations pour sécuriser les vulnérabilités que l'on trouve dans l'explosion de phase. 

2. Re-test pour vérifier si ces vulnérabilités ont été corrigées correctement par le développeur. 

3. Une fois que tous les tests sont effectués, annuler tous les changements à la configuration d'origine, y compris l'activation du pare-feu et d'autres protocoles de sécurité, si elle désactive dans l'explosion de phase. 

Web, Tests de Pénétration de la Méthodologie pour la réussite de Tests de Pénétration

La méthode est un ensemble de l'industrie de la sécurité des lignes directrices et des normes sur la façon dont le test doit être fait. Certains des plus célèbres de méthodologies et de normes peuvent être utilisées pour les tests. Cependant, chaque application web exige différents types de contrôles à effectuer. En outre, les testeurs peuvent créer leurs méthodes en se référant aux standards disponibles sur le marché. 

Below are some of the most popular security testing methodologies and standards that a pentester needs to follow while testing: 

  1. L'OWASP (Open Web Application Security Project)  
  2. OSSTMM (Open Source de Test de la Sécurité de la Méthodologie du Manuel) 
  3. Le NIST (National Institute of Standards and Technology) 
  4. PTE Cadre (Test de Pénétration des Méthodologies et des Normes de Cadre) 
  5. La norme PCI DSS (payment Card Industry Data Security Standard) 

Conclusion

Considering that many businesses depend on web applications, it’s important to do penetration testing to safeguard web applications from simulated cyber attacks and identify potential security flaws, weaknesses and vulnerabilities to remedy them. In this manner, it’s important for a pentester to have knowledge on the types of penetration testing, the 3 phases of penetration testing as well as the security testing methodologies and standards adopted while testing.

 

 

Ressources

https://owasp.org/
http://www.pentest-standard.org/index.php/Main_Page
https://www.isecom.org/OSSTMM.3.pdf

Partager cet article

Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn

© HumanisedTech 2022. Tous droits réservés.

Entrant Plomb Gen Stratégie

D'un contenu net de capturer et de soigner les prospects à long terme

La Conversion De La Page De Destination

Un des gains rapides de la page de destination pour booster les conversions sans effort

L'Outillage Et De L'Analytics

Savoir ce que les visiteurs du site sont à faire et à optimiser l'utilisation et la vente de

Leadership De Contenu

La qualité du contenu, de construire la marque de l'autorité et de l'influence sur les ventes