Failles logiques
IDOR, race conditions, escalade de privilèges. Les vulnérabilités de logique métier qu'aucun scanner ne comprend.
// TEST D'INTRUSION
Simulation d'attaque réelle sur votre application web, API ou mobile. Méthodologie PTES + OWASP WSTG, exploitation contrôlée des vulnérabilités, rapport priorisé par criticité CVSS. Vous obtenez la vue qu'un attaquant aurait — avant qu'il l'ait.
// CE QUE NOUS TESTONS
Un scan automatique ne suffit pas. Les scanners de vulnérabilités (Nessus, Nikto…) détectent des CVE connues. Ils ne testent pas la logique métier, ne chaînent pas les vulnérabilités, ne se posent pas en attaquant motivé.
Un pentest humain trouve ce que 90 % des scans manquent. On teste les quatre familles de failles que les outils automatiques ratent systématiquement.
IDOR, race conditions, escalade de privilèges. Les vulnérabilités de logique métier qu'aucun scanner ne comprend.
XSS → CSRF → admin takeover. On chaîne les failles pour démontrer l'impact réel, pas une liste isolée de findings.
Bypass MFA, JWT forgery, session fixation. On attaque directement les mécanismes censés vous protéger.
Paiement à 0 €, accès cross-tenant, refund infini. Les scénarios d'abus qui vident les caisses en silence.
// MÉTHODOLOGIE EN 7 PHASES
Une démarche PTES + OWASP WSTG structurée, du cadrage à la restitution. Chaque phase est documentée et reproductible.
Atelier de définition du périmètre : applications, URLs, environnements, comptes test, contraintes (heures, IPs source). Signature de l'autorisation d'attaque.
OSINT, énumération sous-domaines, recherche d'expositions publiques (Shodan, GitHub leaks, certificats). Sans toucher la cible.
Scan ports, fingerprinting, énumération technologies (Wappalyzer, Burp), cartographie endpoints API, détection WAF.
Tests OWASP Top 10 + WSTG : injection, broken auth, XSS, CSRF, IDOR, désérialisation, SSRF. Revue logique métier.
Démonstration des vulnérabilités exploitables : escalation, accès cross-tenant, exfiltration de données test. Chaînage des failles.
Évaluation de l'impact réel : pivot interne, persistance, exfiltration. Démonstration concrète pour le COMEX.
Rapport technique (200+ pages typique), executive summary, plan de remédiation chiffré et priorisé, présentation orale.
// LIVRABLES
Pas un pentest pour le pentest. Chaque livrable est conçu pour déclencher des corrections immédiates — de la preuve technique au plan chiffré.
Premier échange gratuit · Devis sous 48h · Sans engagement