GIFTED : Développement web, pentesting et audit web SEO à Reims

GIFTED - PENTESTING, WHITE HAT HACKING ET DÉVELOPPEMENT WEB

Pentesting, White Hat Hacking : Les différentes méthodologies

La seule agence qui vous récompense !
Recevez 5% de cashback pour tous les clients que vous nous apportez.

Découvrez l'éthique et les différentes méthodologies qui se cachent derrière chaque test d'intrusion.

Les tests d'intrusion peuvent avoir une grande variété d'objectifs et de cibles dans leur portée. Pour cette raison, aucun test d'intrusion n'est identique, et il n'y a pas de cas unique quant à la façon dont un testeur d'intrusion devrait l'aborder.


  1. OWASP
  2. Cadre de cybersécurité NIST 1.1
  3. NCSC CAF

Les étapes suivies par un testeur d'intrusion lors d'un engagement sont appelées la méthodologie. Une méthodologie pratique est une méthodologie intelligente, où les mesures prises sont pertinentes pour la situation actuelle. Par exemple, avoir une méthodologie que vous utiliseriez pour tester la sécurité d'une application Web n'est pas pratique lorsque vous devez tester la sécurité d'un réseau.

Avant de discuter de différentes méthodologies standard de l'industrie, nous devons noter que toutes ont un thème général des étapes suivantes :

OrganiserLa description
La collecte d'informationsCette étape implique de collecter autant d'informations accessibles au public sur une cible/organisation que possible, par exemple, OSINT et la recherche. Remarque : Cela n'implique pas l'analyse des systèmes.
Énumération/balayageCette étape implique la découverte des applications et des services exécutés sur les systèmes. Par exemple, trouver un serveur Web potentiellement vulnérable.
ExploitationCette étape consiste à exploiter les vulnérabilités découvertes sur un système ou une application. Cette étape peut impliquer l'utilisation d'exploits publics ou l'exploitation de la logique d'application.
Escalade des privilègesUne fois que vous avez réussi à exploiter un système ou une application (connue sous le nom de foothold), cette étape est la tentative d'étendre votre accès à un système. Vous pouvez escalader horizontalement et verticalement, où horizontalement accède à un autre compte du même groupe d'autorisations (c'est-à-dire un autre utilisateur), alors que verticalement c'est celui d'un autre groupe d'autorisations (c'est-à-dire un administrateur).
Post-exploitationCette étape comporte quelques sous-étapes : Quels autres hébergeurs peuvent être ciblés (pivot) ; Quelles informations supplémentaires pouvons-nous recueillir auprès de l'hébergeur maintenant que nous sommes un utilisateur privilégié ;Couvrir vos traces ; Rapports

OWASP

Le framework « Open Web Application Security Project » est un framework piloté par la communauté et fréquemment mis à jour, utilisé uniquement pour tester la sécurité des applications et des services Web.

La fondation rédige régulièrement des rapports indiquant les dix principales vulnérabilités de sécurité qu'une application Web peut avoir, l'approche de test et la correction.

AvantagesDésavantages
Facile à saisir et à comprendre.Le type de vulnérabilité d'une application Web peut ne pas être clair (elles peuvent souvent se chevaucher).
Maintenu activement et fréquemment mis à jour.L'OWASP ne fait aucune suggestion concernant des cycles de vie de développement de logiciels spécifiques.
Il couvre toutes les étapes d'un engagement : des tests aux rapports et à la correction.Le cadre ne détient aucune accréditation telle que CHECK.
Spécialisé dans les applications et services web.Intentionnellement laissé en blanc.

Cadre de cybersécurité NIST 1.1

Le NIST Cybersecurity Framework est un cadre populaire utilisé pour améliorer les normes de cybersécurité d'une organisation et gérer le risque de cybermenaces. Ce cadre est un peu une mention honorable en raison de sa popularité et de ses détails.

Le cadre fournit des lignes directrices sur les contrôles de sécurité et des critères de réussite pour les organisations, des infrastructures critiques (centrales électriques, etc.) jusqu'au commercial. Il y a une section limitée sur une directive standard pour la méthodologie qu'un testeur d'intrusion devrait suivre.

AvantagesDésavantages
On estime que le NIST Framework sera utilisé par 50% des organisations américaines d'ici 2020.Le NIST a de nombreuses itérations de cadres, il peut donc être difficile de décider lequel s'applique à votre organisation.
Le cadre est extrêmement détaillé dans l'établissement de normes pour aider les organisations à atténuer la menace posée par les cybermenaces.Le cadre NIST a des politiques d'audit faibles, ce qui rend difficile de déterminer comment une violation s'est produite.
Le cadre est très fréquemment mis à jour.Le cadre ne prend pas en compte le cloud computing, qui devient rapidement de plus en plus populaire pour les organisations.
Le NIST fournit une accréditation aux organisations qui utilisent ce cadre.Intentionnellement laissé en blanc.
Le framework NIST est conçu pour être mis en œuvre avec d'autres frameworks.Intentionnellement laissé en blanc.

NCSC CAF

Le Cyber ​​Assessment Framework (CAF) est un cadre étendu de quatorze principes utilisés pour évaluer le risque de diverses cybermenaces et les défenses d'une organisation contre celles-ci.

Le cadre s'applique aux organisations considérées comme exécutant des "services et activités d'une importance vitale" telles que les infrastructures critiques, les banques, etc. Le cadre se concentre principalement sur et évalue les sujets suivants :

  • Sécurité des données
  • Sécurité du système
  • Identité et contrôle d'accès
  • Élasticité
  • Surveillance
  • Planification de la réponse et du rétablissement
AvantagesDésavantages
Ce cadre est soutenu par une agence gouvernementale de cybersécurité.Le cadre est encore nouveau dans l'industrie, ce qui signifie que les organisations n'ont pas eu beaucoup de temps pour apporter les modifications nécessaires pour s'y adapter.
Ce cadre fournit une accréditation.Le cadre est basé sur des principes et des idées et n'est pas aussi direct que d'avoir des règles comme certains autres cadres.
Ce cadre couvre quatorze principes qui vont de la sécurité à la réponse.Intentionnellement laissé en blanc.

Découvrez nos derniers articles sur le sujet

Pentesting, White Hat Hacking et développement web : Définition

Pentesting, White Hat Hacking et développement web : Définition

Comprenez ce qu'implique un test de pénétration, y compris les techniques et les méthodologies de test que tout pentester devrait connaître.

En savoir plus
Pentesting, White Hat Hacking : Les grands principes

Pentesting, White Hat Hacking : Les grands principes

Les mesures, les cadres et les protocoles dont il est question dans cet article jouent tous un petit rôle dans la « Défense en profondeur ».

En savoir plus
Les meilleures pratiques pour sécuriser vos API

Les meilleures pratiques pour sécuriser vos API

Une interface de programmation d'application (API) est un protocole qui permet aux composants logiciels d'interagir.

En savoir plus
Ce que vous devez savoir sur le pentesting de plateforme SaaS

Ce que vous devez savoir sur le pentesting de plateforme SaaS

GIFTED peut vous aider, en effectuant des tests d'intrusion de l'application SaaS, soit pour le compte du fournisseur SaaS, soit pour le compte du client du fournisseur SaaS.

En savoir plus

Vous avez un projet de développement web ?
Vous souhaitez faire un audit technique et SEO ou tester la sécurité de votre SI ?

Recevoir les dernières nouvelles de GIFTED

Incrivez-vous pour recevoir une alerte lorsqu'un nouvel article sera disponible. No SPAM. Promis!