Pentesting

Sécurité

Assumed Breach: Objectives, Methodology, Test Scenarios and Use Cases

L'article traite de l'approche 'Assumed Breach' en cybersécurité, qui repose sur l'idée que les organisations ont déjà été compromises. Contrairement aux tests de pénétration traditionnels qui identifient les vulnérabilités, cette méthode évalue la capacité des équipes de sécurité à détecter et à répondre à des menaces actives en simulant des scénarios d'attaques spécifiques. L'approche permet d'aborder les limitations des tests de pénétration et du Red Teaming en se concentrant sur des scénarios réalistes et ciblés. L'article expose également la méthodologie pour réaliser une évaluation 'Assumed Breach' et ses différents cas d'utilisation.

www.vaadata.com

pentesting
Sécurité

Black Box Penetration Testing: Objective, Methodology and Use Cases

Cet article présente le test de pénétration en boîte noire, où les testeurs effectuent des évaluations de sécurité sans connaître le système cible. Il détaille la méthodologie employée, y compris la reconnaissance technique et humaine pour identifier les vulnérabilités, avec des exemples pratiques. Les résultats sont enregistrés dans un rapport de test, incluant les vulnérabilités identifiées et des recommandations pour renforcer la sécurité des systèmes. L'accent est mis sur la nécessité d'adopter une approche réaliste similaire à celle d'une attaque externe, tout en préservant l'intégrité des données ciblées.

www.vaadata.com

pentesting
Sécurité

Internal Penetration Testing: Objective, Methodology, Black Box and Grey Box Tests

Cet article traite de la sécurité des réseaux internes, en se concentrant sur l'approche du test d'intrusion interne, qui simule le comportement des attaquants. Il aborde les méthodologies de tests d'intrusion en boîtes noires et grises, les étapes de reconnaissance, l'identification des services vulnérables et les impacts des exploits. L'accent est mis sur la nécessité des tests d'intrusion pour garantir la confidentialité et l'intégrité des données au sein d'une organisation, ainsi que les différentes stratégies d'attaque à travers les scénarios avec ou sans compte utilisateur.

www.vaadata.com

pentesting
Sécurité

What is Mass Assignment? Attacks and Security Tips

Une vulnérabilité de Mass Assignment se produit lorsqu'un serveur associe directement les paramètres d'une requête HTTP sans les filtrer correctement, permettant ainsi à un attaquant d'ajouter des variables non prévues. Cela peut mener à des escalades de privilèges, comme observé sur Github en 2012. Identifier cette vulnérabilité est complexe; on peut utiliser des techniques de fuzzing ou d'introspection d'API pour tester des paramètres supplémentaires. Les impacts peuvent aller d'une simple modification à une escalade de privilèges, rendant cette vulnérabilité à prendre au sérieux.

www.vaadata.com

pentesting