Tests d’intrusion

Un test d’intrusion permet d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des attaquants

Différents tests

XMCO propose plusieurs types de tests d’intrusion ou « d’audits intrusifs ».

  • Tests d’applications Web et API
  • Tests d’applications mobiles (iOS, Android, Windows Phone)
  • Tests d’infrastructure externe
  • Tests réseaux internes
  • Tests d’intrusion spécifiques aux infrastructures SAP
  • Tests d’infrastructure PCI DSS
  • Tests RedTeam
  • Tests Wi-Fi
  • Tests d’intrusion physiques
audit

Différentes approches

  • Boîte noire : tests réalisés sans information afin de simuler les actions d’un attaquant
  • Boîte grise : tests réalisés à partir de comptes d’accès afin de simuler le comportement d’un utilisateur
  • Boîte blanche : tests réalisés avec une connaissance approfondie de l’environnement (schémas, code source, documentations, etc).


Pure-player des tests d’intrusion depuis 2002


Applications web / SaaS / Cloud

if_window-php-coding_532713Recherche des vulnérabilités au sein de l’infrastructure, du code et de la logique applicative : droits d’accès, usurpation d’identité, mots de passe, fonctions sensibles, formulaires, sessions, upload et protection des données.

Java, PHP, .NET, JS, Symfony, Zend, Spring, Struts, AWS, Azure…

Infrastructure Internet

if_network_1287518Recherche des failles exploitables par un pirate au sein de vos composants réseau, des systèmes et des services d’infrastructure.

VPN, firewalls, Apache, IIS, DNS, Reverse-proxy, FTP, SMTP…

Applications Mobiles

MobileAudit de sécurité des applications (Android et iOS) et recherche de vulnérabilités au sein du protocole avec les serveurs.

Java, Objective-C, REST, XML, API…

Web Services / API

api-code-window-128Recherche des vulnérabilités à l’instar d’un pirate ou d’un partenaire malveillant possédant un accès à vos API front et back-office.

XML, SOAP, JSON, Ajax, REST..

Intrusion Redteam

Tcountdown-128entatives d’intrusion comme un véritable pirate, sans contrainte de périmètre ni de temps. Nous exploitons tous les vecteurs d’attaques, tels que des attaques par rebonds (watering hole), des envois de pièces-jointes intrusives (spear-phishing) ou encore le social-engineering.

Réseau interne / LAN

if_server_1287513 (1)Connectés sur votre LAN – tel un stagiaire ou un collaborateur malveillant – nous recherchons des failles qui permettent d’accéder à des informations confidentielles et d’obtenir des privilèges d’administration sur le SI.

Pass-the-hash, partages, GPP, SNMP…