👾Pentest Methodology

Standard PTES

la méthode présentée ci-dessous est une façon de faire un test d'intrusion parmi d'autres (ici PTES):

Qu'est ce que le standard PTES ?

C'est une norme d'exécution des tests d'intrusion qui se compose de sept sections principales. Ceux-ci couvrent tout ce qui concerne un test d'intrusion.

ressource: http://www.pentest-standard.org/index.php/Main_Page

En cas de prestation externe

Première réunion avec le client afin de discuter des attentes, du scope, du type de test d'intrusion (black box, white box ?)...
Rédaction d'un contrat de prestation de pentest.

Phases du test d'intrusion

Collecte de renseignement

Recherche passive
Recherche active
Cartographie de la surface d'attaque
Parfois ingénierie sociale

Modélisation des menaces

Analyse de vulnérabilité

Scans de vulnérabilités
Recherche de vulnérabilités connues sur les versions
Elaboration d'un arbre d'attaque

Exploitation

Tentative d'exploitation des vulnérabilités trouvées
Validation des vulnérabilités
Retour à la phase d'analyse si découverte de nouvelles cibles

Post-exploitation

Recherche de données sensibles et de persistance
Tentatives de mouvements latéraux

Rédaction d'un rapport de pentest

Ressources utiles

https://github.com/1modm/petereport: outil open source de génération de rapport

https://github.com/juliocesarfort/public-pentesting-reports: Une liste de rapports de tests d'intrusion publics publiés par plusieurs cabinets de conseil et groupes de sécurité universitaires.

https://www.deciduous.app/: pour la génération de scénario d'attaque

PrécédentPentest et Bug Bounty SuivantBug Bounty Methodology

Mis à jour il y a 3 ans

hashtagEn cas de prestation externe

hashtagPhases du test d'intrusion

hashtagCollecte de renseignement

hashtagModélisation des menaces

hashtagAnalyse de vulnérabilité

hashtagExploitation

hashtagPost-exploitation

hashtagRédaction d'un rapport de pentest

hashtagRessources utiles