Nouvel audit de sécurité WAAGE PRO, réalisé avec succès !

Actualité WAAGE PRO, Publiée le 30 août 2023

Pentest réalisé en juillet et août 2023

Notre cabinet vient de faire procéder, dans le courant des mois de juillet et août 2023, à un nouvel audit de sécurité de la plateforme WAAGE PRO.

Cet audit ou "Pentest", a été conduit par la société SYSDREAM, une des leaders français en la matière.

A partir du cahier des charges transmis par notre cabinet à SYSDREAM, la société d'audit s'est notamment engagée de la manière suivante :

" Afin de valider la sécurité du SI PEOPLE BASE, nos auditeurs testeront la sécurité des éléments suivants au travers de tests d'intrusion externes (en boite noire et en boite grise) :

  • Cartographie des services exposés
  • Prise d'empreinte des applications/serveurs Web
  • Énumération des routes APIs et chemins exposés
  • Recherche et identification de fuites d’information
  • Cartographie des chemins d'exécution à travers l'application
  • Identification des points d'entrée des applications
  • Enumération des interfaces d'administration de l'infrastructure et des applications
  • Analyse du fonctionnement global et des configurations
  • Vérification des autorisations et authentification
  • Test de contournement de l'authentification
  • Test de contournement des autorisations
  • Tentative de détournement par des injections de code (côté client/serveur)
  • Test pour le détournement de session
  • Test d'inclusion de fichiers ou la traversée de répertoire
  • Test pour les Informations d'identification par défaut
  • Exploitation des protocoles et suites cryptographique
  • Vérification de la sécurité pour la gestion des fichiers
  • Vérification du cloisonnement réseau
  • Tentative d’exfiltration réseau
  • Accès arbitraire aux données des utilisateurs
  • Accès arbitraire aux données métier
  • Analyse du cloisonnement vertical et horizontal
  • Test de modification arbitraire des données métier
  • Élévation de privilèges sur l'application web
  • Test des vulnérabilités web et API
  • Vérification des en-têtes de sécurité
  • Test de gestion de session
  • Vérification de la robustesse des systèmes et du stockage
  • Vérification de la présence/la robustesse du pare-feu applicatif
  • Étude des moyens cryptographiques configurés
  • Contrôle et droits d'accès implémentés
  • Politique de sécurité configurée
  • Politique de mots de passes
  • Test des vulnérabilités de logique métier
  • Tentative de validation de commande sans paiement
  • Test de modification arbitraire des commandes et données
  • Accès arbitraire au système de paiement
  • Tentative de validation d'un paiement sans carte "

 

L'audit a été réalisé avec succès et n'a laissé apparaître aucune faille majeure. Les quelques éléments minuers trouvés ont quant à eux tous été corrigés.

Retour aux actualités