Un test d'intrusion grandeur nature

Magazine
Marque
MISC
HS n°
Numéro
1
Mois de parution
octobre 2007


Résumé

Cet article a pour objectif de vous présenter rapidement le déroulement complet d'un test d'intrusion (ou pentest) au cours duquel une vulnérabilité de type Blind SQL Injection est découverte et exploitée.


Outre l'aspect technique abordé, quoique les explications ne demandent pas un niveau d'expertise accru, il a aussi (et surtout ?) pour objectif de démontrer qu'un test d'intrusion ne consiste pas à lancer un outil automatique de tests de vulnérabilités. Ces outils ont certes le mérite de fournir une synthèse de l'état du réseau et de produire des courbes permettant soi-disant de mesurer l'évolution du niveau de sécurité du système d'information. Ils présentent néanmoins trois graves inconvénients.

Premièrement, la méthode d'évaluation du niveau de sécurité appliquée par ces logiciels repose sur l'attribution à chaque vulnérabilité d'une note arbitraire de sévérité. Ce système a l'effet pervers d'attribuer une sévérité très basse à un ensemble de vulnérabilités dont chacune n'est pas dramatique en elle-même, mais dont l'association l'est. Ceci explique la réticence des auditeurs à procéder à ce type de notation.

Deuxième inconvénient,...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite