Voici quelques exemples de tests que nous sommes en mesure de faire :

TERMINAISON DE SESSION INEFFICACE

Un attaquant peut détourner les identifiants de session et avoir accès à un compte après que la victime croit qu'ils ont quitté leurs sessions. Un attaquant peut être capable d'acquérir les identificateurs de session via des cookies cachés sur un ordinateur partagé, ou via des pages avec des liaisons de session contenant des champs cachés, ou via le réseau etc.

ESCALADE DE PRIVILEGE

Les vulnérabilités d'escalade de privilège permettent à un utilisateur moins privilégié de voir des pages et exécuter les opérations qui devraient seulement être accessibles à un utilisateur plus privilégié. Cette vulnérabilité indique que le droit de faire certaines actions ou voir certaines données n'est pas mis en application par le serveur.

UTILISATEUR MUTUEL

Le croisement des vulnérabilités de plusieurs utilisateurs simultanément permet à un attaquant de voir les informations sensibles d'un utilisateur comme des informations lui appartenant et d'exécuter des opérations qui devraient seulement être accessibles à l'utilisateur.

BOND URL

Un bond d'URL (éviter une action de l'application), permet aux utilisateurs de contourner les étapes exigées d'une interaction en ligne. Le résultat est que l'on peut permettre l'accès aux utilisateurs ou la capacité d'exécuter des opérations dans une façon que l'on ne croyait pas possible.

CONTREFAÇON DE DEMANDE DE SITE MUTUEL (CSRF)

La contrefaçon de demande à travers un site est une vulnérabilité commune mais sérieuse qui exploite la confiance d'un site Web en forgeant (contrefait) une demande d'un utilisateur connu et éprouvé.

FIXATION DE SESSION

Dans une attaque de fixation de session, l'attaquant fixe la session de l'utilisateur (ID) avant l'enregistrement des journaux d'utilisateur sur le serveur cible, éliminant ainsi le besoin d'obtenir la session de l'utilisateur ID plus tard.

Certaines applications qui continuent à utiliser la même session ID après l'établissement de la connexion donnent un accès illimité illicite à vos données.

EXEMPLES DE NOS TESTS AUTOMATISES

Acquire Session ID
Application Exception
Application Exception (WS)
Authentication Bypass
Authorization Boundary
Blind SQL Injection
Blind SQL Injection (WS)
Browse HTTP from HTTPS List
Brute Force Login
Buffer Overflow
Buffer Overflow (WS)
Change Password and Email in Same Session
Check Basic Authorization over HTTP
Check HTTP Methods
Cookie Listing
Credit Card Disclosure
Cross-Frame Scripting
Cross-Site Scripting
CIA Web Server Configuration
Database Server Version Checks
Detect Off-Site Images
Directory Browsing
Document Caching
External Applet, Script, or Object
File & Directory Discovery
Find Pages
Form-Based Authentication
Format String
Format String (WS)
Form Caching
Forms Submitted Without Using Post
GET for POST Hidden Field Listing
HTML & JavaScript Comments
HTTP Header Listing
HTTP Response Splitting
Integer Overflow
J2EE Session ID Length
Lockout
No Applets, Scripts, or Objects
Non-Masked Password
Non-SSL Form
Non-SSL Page
Non-SSL Password
Open Redirect
Page Listing
Pages Containing Forms
Pages Containing Meta Tags
Pages Requiring Cookies
Pages Specifying a Character Set
Password Change
Password Autocomplete
Phishing Referrer Trust
Port Scanner
PHP/Perl Code-Injection
Privacy Notification
Privilege Escalation
Register Password
Register Unique User
Remote File Inclusion
Run Traversal Only
SE (SmartAttack Engine) Event Reporting
Session Hijacking
Session ID Randomness
Social Insurance Disclosure
Social Security Disclosure
SQL Disclosure
SQL Disclosure (WS)
SQL Error Message
SQL Error Message (WS)
SSI-Injection
UNIX Command Injection
UNIX Command Injection (WS)
UNIX Relative Path
UNIX Relative Path (WS)
URL in Query
Username or Password in HTTP Request
Weak Password
Web Server Configuration Vulnerabilities
Web Server Miscellaneous Vulnerabilities
Web Server Version Vulnerabilities
Windows Command Injection
Windows Command Injection (WS)
Windows Registry Checks
Windows Relative Path
Windows Relative Path (WS)
WSDL Analysis
WsTest