Plusieurs étapes peuvent être généralisées lors du test de pénétration d’une application Web. Chacune se caractérise par l’utilisation d’outils différents et le même résultat obtenu. On peut également constater que les différentes phases ne se présentent pas toujours strictement. Le plus souvent, cependant, les résultats obtenus à partir d’une étape sont souvent des entrées pour la phase suivante. Les phases extraites de l’essai de pénétration sont indiquées sur le graphique ci-dessous: la première phase de l’essai de pénétration de la webaplication consiste principalement à recueillir le plus grand nombre possible d’informations sur la webaplication attaquée. Tout ce qui, même dès le début, semble être une information insignifiante peut s’avérer crucial pour trouver et exploiter les erreurs potentielles. Il s’agira principalement d’informations sur les technologies utilisées, l’identification du réseau et le système d’exploitation. La prochaine phase se concentre sur la découverte de l’ensemble de l’application, la connaissance de sa logique d’action et de toutes ses fonctionnalités. Ceci est nécessaire pour évaluer et distinguer correctement les erreurs de sécurité des résultats corrects et attendus du fonctionnement de l’application. Ensuite, il y a la phase de recherche d’erreurs potentielles. Cela se fait en effectuant différents types de tests. Cela permet de déterminer si les fonctionnalités d’une application peuvent être utilisées de manière dangereuse. La phase d’exploitation des erreurs constatées se poursuit. C’est là que le testeur de pénétration prépare un vecteur d’attaque pour tout profit, par exemple en obtenant des informations sensibles. En fonction des résultats obtenus, l’attaquant évalue la critique de la vulnérabilité détectée. La phase la plus récente et la plus importante du point de vue du client consiste à documenter avec précision les vulnérabilités détectées et à préparer un rapport sur les études effectuées. Le document préparé doit être rédigé dans un langage universel compréhensible tant pour les professionnels de la technologie que pour les cadres. Afin de faciliter la prise de décisions difficiles, il convient de décrire les vulnérabilités détectées d’une manière qui démontre l’impact sur les entreprises.
Phases de pénétration
Pour marque-pages : Permaliens.