👾Pentest Methodology
Standard PTES
la méthode présentée ci-dessous est une façon de faire un test d'intrusion parmi d'autres (ici PTES):
Qu'est ce que le standard PTES ?
C'est une norme d'exécution des tests d'intrusion qui se compose de sept sections principales. Ceux-ci couvrent tout ce qui concerne un test d'intrusion.
ressource: http://www.pentest-standard.org/index.php/Main_Page
En cas de prestation externe
Première réunion avec le client afin de discuter des attentes, du scope, du type de test d'intrusion (black box, white box ?)...
Rédaction d'un contrat de prestation de pentest.
Phases du test d'intrusion
Collecte de renseignement
Recherche passive
Recherche active
Cartographie de la surface d'attaque
Parfois ingénierie sociale
Modélisation des menaces
Analyse de vulnérabilité
Scans de vulnérabilités
Recherche de vulnérabilités connues sur les versions
Elaboration d'un arbre d'attaque
Exploitation
Tentative d'exploitation des vulnérabilités trouvées
Validation des vulnérabilités
Retour à la phase d'analyse si découverte de nouvelles cibles
Post-exploitation
Recherche de données sensibles et de persistance
Tentatives de mouvements latéraux
Rédaction d'un rapport de pentest
Ressources utiles
https://github.com/1modm/petereport: outil open source de génération de rapport
https://github.com/juliocesarfort/public-pentesting-reports: Une liste de rapports de tests d'intrusion publics publiés par plusieurs cabinets de conseil et groupes de sécurité universitaires.
https://www.deciduous.app/: pour la génération de scénario d'attaque
Dernière mise à jour