Exemple d'un plan de test d'intrusion de site internet sous forme de tableau: le cas Equifax

Exemple d'un plan de test d'intrusion de site internet sous forme de tableau: le cas Equifax

Résumé du document

Entre les mois de mai et juillet 2017, Equifax, une « société d'évaluation de la cote de crédit »1, a été victime d'un piratage qui a mené au vol d'environ 145 millions de numéros de Sécurité sociale de citoyens américains2. En plus des numéros de Sécurité sociale, cette brèche a également mené au vol d'identifiants fiscaux, de numéros de permis de conduire et de données d'assurance.

Sommaire

I. Communications de réseau (outils : Wireshark, tcpdump, etc.)
II. Systèmes d'exploitation (OS) des serveurs (outils : Nessus, Nmap, etc.)
III. Application Web (Outil : logiciel de test d'intrusion d'applications web)

Informations sur l'étude de cas

Thomas
  • Nombre de pages : 3 pages
  • Publié le : 26/02/2018
  • Langue : français
  • Date de mise à jour : 26/02/2018
  • Consulté : 9 fois
  • Format : .pdf

Extraits

[...] mis en place lors de l'exploitation Basiques 1h-4h Application Web (Outil : logiciel de test d'intrusion d'applications web) Moyennes 3.1 Mapping des applications (facultatif si test en White Box) Basiques Fingerprinting des applications • Trouver le serveur d'applications et les technologies utilisées Basiques 1h-4h Analyse fonctionnelle • Comprendre le fonctionnement de l'application Basiques 1h-4h Modélisation du flux du processus • Approfondir la connaissance du fonctionnement de l'application Moyennes 5h-16h Mapping des requêtes/ressources • Identifier les requêtes avec une forte probabilité d'avoir des vulnérabilités Moyennes 5h-16h 3.2 Découverte de l'application • Identifier les vulnérabilités de l'interface utilisateur ou des services web Basiques Test de la configuration • Test de SSL/TLS, interface administrative, etc. Basiques 1h-4h Test d'identification • Ex : mot de passe facile à deviner, authentification multi facteurs, CAPTCHA, etc. [...]


[...] 14h min. 28h min. compétences requises temps estmé Black Box élevées 60h min. basiques 18h min. [...]


[...] Moyennes 5h-16h Test d'autorisation • Ex : escalade de privilèges, bypass autorisation, etc. Moyennes 5h-16h Test de la validité des données • Ex : Injection SQL, XSS, overflows, etc. Basiques 1h-4h Test de déni de service (DoS) Élevées 17h-40h Test de l'interface mobile Basiques 1h-4h 3.3 Exploitation de l'application Basiques Identifier les avenues d'attaque • Les classer par chance de succès Basiques 1h-4h Exploiter les vulnérabilités • Créer une preuve de concept Moyennes 5h-16h Post exploitation • Effacer les codes, données, etc. [...]


[...] En plus des numéros de Sécurité Sociale, cette brèche a également mené au vol d'identifiants fiscaux, de numéros de permis de conduire et de données d'assurance. Toutefois, cette brèche aurait pu être évitée si Equifax s'était soumis à un ou plusieurs tests d'intrusions sérieux. Nous proposerons ci-dessous une ébauche d'un plan d'intrusion qui aurait pu éviter à Equifax de se faire voler plusieurs millions d'informations personnelles de ressortissants américains Test de 3 composantes: protocoles, OS et applicatons Web Sommaire: Protocoles OS Applicatons temps estmé White Box 60h min. [...]

Consulte tous nos documents en illimité !

Découvre nos formules d'abonnement

Pimido.com utilise des cookies sur son site. En poursuivant votre navigation sur Pimido.com ou en cliquant sur OK, vous en acceptez l'utilisation. Politique de Condifentialité

ok