L'équipe a identifié les vulnérabilités et compromis l'application sans accès administrateur ou en utilisant des exploits connus, en se concentrant sur l'évaluation de la posture de sécurité du système et la protection des données sensibles.
Client
Ce cas illustre la valeur des tests de pénétration manuels. L'équipe a réussi à compromettre la plate-forme d'application sans accès administrateur, et sans utiliser d'exploits connus ou découvrir des failles de désérialisation et de RCE. L'objectif principal était d'évaluer la posture de sécurité du système et d'identifier les vulnérabilités susceptibles de compromettre la confidentialité et l'intégrité des données sensibles.
Aperçu du projet
Une application web conçue pour gérer en toute sécurité les documents numériques d'une organisation européenne de responsabilité des producteurs a été évaluée. L'application traite des documents sensibles, y compris des informations d'entreprise et des informations financières, ce qui nécessite des mesures de sécurité robustes.
Le défi
L'équipe chargée des tests de pénétration a été chargée d'évaluer la sécurité des applications mobiles et web. Le champ d'application était limité aux actifs visibles par le public, tels que les sites web et les applications mobiles frontales.
L'approche
L'équipe a utilisé une méthodologie méticuleuse, combinant des outils d'analyse automatisés et des évaluations manuelles de la sécurité. Des scénarios d'attaque réels ont été simulés afin d'identifier et d'exploiter les faiblesses de sécurité, en se concentrant particulièrement sur la validation des entrées et l'interaction avec l'utilisateur.
Premières étapes
Au cours des premières étapes, on a découvert que l'application web partageait son API avec l'application mobile. La cartographie de la fonctionnalité de l'API a révélé plusieurs requêtes d'aide qui ont fourni des informations supplémentaires. En particulier, une requête renvoyant des informations sur les attributs de session a permis à l'équipe de modéliser le comportement du mécanisme d'authentification.
Vulnérabilités et mesures d'atténuation
Écritures intersites stockées (XSS)
- Vulnérabilité: Une vulnérabilité XSS stockée a été découverte dans la section des commentaires. Des scripts malveillants peuvent être injectés et exécutés par les utilisateurs qui consultent les commentaires, ce qui peut entraîner un vol de données ou un détournement de session.
- Atténuation: Des mécanismes de validation des entrées et de codage des sorties ont été mis en place, ainsi qu'une vérification des entrées de l'utilisateur.
Injection HTML
- Vulnérabilité: Une vulnérabilité d'injection HTML a été trouvée dans la section du profil de l'utilisateur, permettant aux attaquants d'injecter du code HTML arbitraire.
- Atténuation: Une validation d'entrée et un encodage de sortie stricts pour le contenu généré par l'utilisateur ont été mis en œuvre pour empêcher l'exécution de HTML malveillant.
Conclusion
Le test de pénétration a révélé des vulnérabilités critiques qui auraient pu conduire à un accès non autorisé à des données sensibles et à l'exploitation des interactions des utilisateurs. Les problèmes identifiés ont été efficacement atténués par la mise en œuvre de pratiques de codage sécurisées et de mécanismes de validation des entrées. Ce cas souligne l'importance des évaluations continues de la sécurité pour maintenir un environnement numérique sûr pour les données sensibles.
