Académique Documents
Professionnel Documents
Culture Documents
Expectations vs Reality
AGENDA
❏ Introduction
❏ Pourquoi faire un pentest? Quel type choisir?
❏ Méthodologie globale et compétences nécessaires
❏ Exemples de scénarios
❏ Q/A
● PENTEST != AUDIT
o Souvent inclus dans un process d’audit complet
Audit de configuration, Audit de code, Audit organisationnel
o Parfois seul
Process interne, Modifications sur une appli, Contre-audit, Doute sur un élément du SI...
● BLACK BOX
o Interne (visiteur en salle de réunion..)
o Externe (Toto derrière son PC)
● GREY BOX
o Interne (employé malveillant, stagiaire…)
o Externe (personne titulaire d’un compte sur l’application)
● WHITE BOX
o Plus rare, transparence sur l’élément audité , code fourni, etc…
o Plus fréquent pour les homologations
● RÉUNION D’INITIALISATION
o Comprendre ce que veut le client / Identifier les attentes
Pourquoi fait-il cet audit (contexte)?
Quels sont les points éventuels, les équipements à NE PAS TESTER, etc (déni de service…)
Non, on ne s’amuse pas a faire de virements quand on audite l’appli de gestion des menus de la cantine d’une banque.. (déso)
Non, si tapisseries-d-aubusson.com est hébergé à côté d’un trug genre dgfip, on a pas le droit d’essayer voire d’y penser (déso)
● TOUJOURS!
o Même si c’est sympa quand le presta d’avant nous laisse son webshell à disposition
« ALORS DEJA Y A BCP MOINS DE DEV ET FAIRE DES TOOLS C'EST PLUS RIGOLO. »
« IL FAUT TOUT LE TEMPS SE REMETTRE EN QUESTION,
APPRENDRE,....COMPRENDRE COMMENT LES GENS REFLECHISSENT. »
● CONNAISSANCES GLOBALES
o Périmètres très hétéroclites
o Un minimum de dev
● SAVOIR RESTER À JOUR
o Réseaux sociaux, presse
o S’intéresser à la sécu globalement
● SAVOIR S’ADAPTER
o Changements de dernière minute fréquents
o Comprendre le besoin (encore!!)
● CONNAÎTRE SES OUTILS
o Si, si…
● CONTEXTE / PÉRIMÈTRE
o Test d’intrusion interne (stagiaire), sur 7 jours.
o Données d’entrée: scope = le LAN
o Premier pentest pour le client
● DONNÉES D’ENTRÉE - DÉCOUVERTE
o Vu le périmètre… gros scan de vuln
o Et là c’est le drame…
● A LA MAIN
o Peu utile dans le cas d'attaques externes, le port 3389 étant souvent filtré
net user marion Toto1234! /add
❏ WOW!
❏ 0 DAYZ TIME!
OU PAS
❏ trop ELITE
❏ MEME PAS DE SPLOIT \o/
❏ WOW!
❏ 0 DAYZ TIME!
● CONTEXTE / PÉRIMÈTRE
o Test d’intrusion externe, blackbox, sur 5jours.
o Données d’entrée: 5 applis (intranet/webmail/apps internes) + 21 IP
o Autorisation d’accéder à toute IP/site appartenant au client, extension en interne
possible
● DONNÉES D’ENTRÉE - DÉCOUVERTE
o Google: découverte d’autres sites (inurl:, site: …)
o Nmap: peu de surface d’exposition (1 FTP, le reste en 80/443 sur des mires d’auth,
ou avec un mini formulaire) => seul point d’entrée: une éventuelle faille WEB
o Nessus sert à rien (pardon)
o Règles ModSecurity de psycho
o 4j et demi a galérer…et puis…
● BAN OU DOS?
o Je teste depuis mon tel en 3G et ca me redirige sur une page à laquelle j’ai accès
- oui je sais j’avais pas testé les user agent mobile, bla, bla :( –
o Enfin un point d’entrée…enfin, y’a pas de 401 ou 403, c’est déjà ca…
o Ca donne pas accès à grand-chose… 3 éléments sur la page, mais un avec une URL
intéressante (c’est un genre de thumbnail)
https://site.client.fr/intranet/jcore/tooltip/ttCard.jsp?ttId=c_123456&ttContext=
● CES IDENTIFIANTS
PERMETTENT D’ACCÉDER AU
WEBMAIL, MAIS PAS À CITRIX :(
● CONTINUONS LES
RECHERCHES:
● ET USERTEST EST…..
o Utilisateur Citrix (Accès au LAN) o ….qui n’a pas d’AV
o Admin local d’un des bureaux…. o Sur lequel l’admin domaine est
connecté