👾Pentest Methodology

Standard PTES

la méthode présentée ci-dessous est une façon de faire un test d'intrusion parmi d'autres (ici PTES):

Qu'est ce que le standard PTES ?

C'est une norme d'exécution des tests d'intrusion qui se compose de sept sections principales. Ceux-ci couvrent tout ce qui concerne un test d'intrusion.

ressource: http://www.pentest-standard.org/index.php/Main_Page

En cas de prestation externe

  • Première réunion avec le client afin de discuter des attentes, du scope, du type de test d'intrusion (black box, white box ?)...

  • Rédaction d'un contrat de prestation de pentest.

Phases du test d'intrusion

Collecte de renseignement

  • Recherche passive

  • Recherche active

  • Cartographie de la surface d'attaque

  • Parfois ingénierie sociale

Modélisation des menaces

Analyse de vulnérabilité

  • Scans de vulnérabilités

  • Recherche de vulnérabilités connues sur les versions

  • Elaboration d'un arbre d'attaque

Exploitation

  • Tentative d'exploitation des vulnérabilités trouvées

  • Validation des vulnérabilités

  • Retour à la phase d'analyse si découverte de nouvelles cibles

Post-exploitation

  • Recherche de données sensibles et de persistance

  • Tentatives de mouvements latéraux

Rédaction d'un rapport de pentest

Ressources utiles

https://github.com/1modm/petereport: outil open source de génération de rapport

https://github.com/juliocesarfort/public-pentesting-reports: Une liste de rapports de tests d'intrusion publics publiés par plusieurs cabinets de conseil et groupes de sécurité universitaires.

https://www.deciduous.app/: pour la génération de scénario d'attaque

PrécédentPentest et Bug BountySuivantBug Bounty Methodology

Dernière mise à jour