🕸️Pentest WEB

Le pentest Web consiste à évaluer la sécurité d’une application ou d’un site Web en adoptant la même logique qu’un attaquant, mais dans un cadre contrôlé, légal et encadré (scope défini, autorisation écrite, objectifs précis). L’objectif est d’identifier les vulnérabilités exploitables avant qu’un attaquant réel ne le fasse, puis de proposer des mesures de remédiation concrètes.

Comprendre la démarche d’un pentesteur, c’est aussi mieux comprendre la méthodologie des attaquants et le déroulement d’une attaque réelle, souvent modélisé par des frameworks comme la Cyber Kill Chain.

Méthodologie (vue attaquant / Cyber Kill Chain)

Même si chaque mission est différente, la plupart des pentests Web suivent une logique proche du cycle d’attaque :

  1. Préparation & cadrage

    • Définition du scope (URL, environnements, comptes de test, limites).

    • Clarification des règles du jeu (ce qui est autorisé / interdit, heures d’intervention, objectifs).

  2. Reconnaissance (Recon)

    • Reconnaissance passive : collecte d’infos sans interaction directe (DNS, sous-domaines, fuites Git, OSINT, technologies utilisées, etc.).

    • Reconnaissance active : scan des ports/services, détection de frameworks, routes, endpoints, etc. → Correspond à la phase Reconnaissance de la Cyber Kill Chain.

  3. Cartographie & énumération

    • Découverte des fonctionnalités : authentification, formulaires, uploads, API, espace admin…

    • Identification des points d’entrée potentiels : paramètres, cookies, headers, endpoints internes, etc.

    • Compréhension des rôles/utilisateurs et des flux (front / back / API).

  4. Identification des vulnérabilités

    • Tests sur les grandes familles de failles :

      • Authentification / gestion de session

      • Contrôle d’accès (IDOR, vertical/horizontal privilege escalation)

      • Injection (SQLi, XSS, template injection, etc.)

      • Upload de fichiers, désérialisation, etc.

    • Combinaison de tests manuels et outils automatisés (scanners, proxies type Burp/ZAP).

  5. Exploitation contrôlée

    • Validation des vulnérabilités de manière limitée et maîtrisée (POC).

    • Vérifier jusqu’où un attaquant pourrait aller : accès à des données sensibles, exécution de code, pivot, etc. → Fait écho aux phases Delivery / Exploitation / Installation de la Cyber Kill Chain.

  6. Post-exploitation

    • Mesurer l’impact réel :

      • Volume et sensibilité des données accessibles

      • Possibilité d’élévation de privilèges

      • Persistance potentielle dans le système

    • Toujours rester dans les limites définies dans le cadrage.

  7. Rapport & recommandations

    • Rédaction d’un rapport clair et priorisé :

      • Vulnérabilités trouvées (avec preuves)

      • Impact métier et technique

      • Recommandations concrètes (correctifs, durcissement, bonnes pratiques).

    • Échange avec les équipes (développeurs, ops, sécurité) pour faciliter la correction.

Cyber Kill Chain (Illustration)

OWASP Top 10

Open WEB Application Security Project est un organisme dont le but est de classifier les vulnérabilités en fonction de leur présence sur internet. La dernière liste remonte à 2021 sur le site suivante :

https://owasp.org/www-project-top-ten/

Les différentes catégories sont :

  • A01:2021-Broken Access Control

  • A02:2021-Cryptographic Failures

  • A03:2021-Injection

  • A04:2021-Insecure Design

  • A05:2021-Security Misconfiguration

  • A06:2021-Vulnerable and Outdated Components

  • A07:2021-Identification and Authentication Failures

  • A08:2021-Software and Data Integrity Failures

  • A09:2021-Security Logging and Monitoring Failures

  • A10:2021-Server-Side Request Forgery

Code HTTP / Status

Composition d'une URL :

Comment mieux identifier les codes HTTP ?

Les codes les plus commun :

PrécédentSanctionSuivantEnumération

Mis à jour