Tests d'intrusion

Tests d'intrusion des applications web, et de toutes les applications entre les deux.

Les applications modernes sont des surfaces d'attaque tentaculaires : interfaces web, clients mobiles et API sous-jacentes. SubRosa les teste toutes pour débusquer les abus de logique métier et les failles de contrôle d'accès que les scanners manquent, en se concentrant sur le risque exploitable et l'impact métier réel.

Web · Mobile · API · Code source · OWASP Top 10

Les tests d'intrusion des applications web, définis

Qu'est-ce qu'un test d'intrusion d'application web ?

Un test d'intrusion d'application web est une évaluation de sécurité menée à la main sur une application, son interface, ses API, son authentification et sa logique métier, afin d'identifier les vulnérabilités qu'un attaquant pourrait exploiter : contrôle d'accès défaillant, injection, contournement d'authentification et abus de logique tels que la prise de contrôle de compte. Contrairement à un scan automatisé, il teste les parcours et les cas limites qu'un véritable attaquant emprunterait, à travers les différents rôles et états, et prouve les données ou actions qu'il pourrait réellement atteindre.

Ce que nous testons

Web, mobile et les API qui les alimentent.

Des tests spécialisés couvrant chaque type d'application et chaque couche de votre environnement.

Tests d'applications web

Couverture complète de l'OWASP Top 10, plus les tests d'authentification, de session et de logique métier : prise de contrôle de compte, élévation de privilèges et exposition de données à travers les rôles et les états.

Tests de sécurité des API

API REST et GraphQL testées face à l'OWASP API Top 10 : autorisation défaillante au niveau des objets et des fonctions, affectation en masse (mass assignment) et exposition de données trop permissive.

Tests d'applications mobiles

Évaluation iOS et Android couvrant le trafic API, le stockage local des données et la rétro-ingénierie de l'application compilée.

Revue de code source

Revue manuelle et automatisée de votre code source pour détecter les vulnérabilités, les schémas non sécurisés et les problèmes d'architecture avant leur mise en production.

Pourquoi SubRosa

Au-delà du scanner, au cœur de la logique.

Focus sur la logique métier

Les outils automatisés passent à côté des abus de logique. Nous testons les parcours qu'exploitent les attaquants, prise de contrôle de compte, contournement d'autorisation et manipulation d'état, qu'aucun scanner ne sait détecter.

Couverture full-stack

Nous testons les couches interface, API et backend, en enchaînant les conditions pour montrer comment une faille de faible gravité se transforme en compromission totale.

Des résultats prêts pour les développeurs

Chaque vulnérabilité s'accompagne d'étapes de reproduction, des portions de code concernées et de conseils de remédiation clairs, immédiatement actionnables par vos ingénieurs.

Chaque vulnérabilité, suivie jusqu'à sa correction.

De la détection à la correction.

Les vulnérabilités issues de vos tests applicatifs vivent dans Sable, priorisées, attribuées à des responsables et suivies de leur ouverture jusqu'au retest, pour que la remédiation reste sur les rails et que rien ne passe entre les mailles du filet.

Les vulnérabilités applicatives dans Sable
Application findingsWeb · API · Mobile
  • Critical
    Broken object-level auth (BOLA)
    API
    Open
  • High
    Account takeover via reset flow
    Web
    In progress
  • High
    Mass assignment on user object
    API
    Retested
  • Medium
    Secrets in local storage
    Mobile
    Open
OWASP Top 10 mappedReproduction + fix

Sécurisez vos applications avant que les attaquants ne les testent.

Réservez un test d'intrusion d'application web et découvrez les failles de logique métier et de contrôle d'accès que les scanners ne trouveront jamais.